Har industriella styrsystem sämre säkerhet än andra produkter?
En ny undersökning av VDC Research pekar på att medvetenheten om säkerhetsrisker med uppkopplade fabriker ökar, men att insatserna för att förbättra designen av styrsystemen inte ökar i motsvarande grad.
Av över 500 utfrågade ingenjörer säger 24% att deras projekt inte tagit några särskilda hänsyn till cyber-security frågor. Rapporten “Industry 4.0: Secure by Design” ger även tips på aktiviteter som krävs för en robust design av programvara. Mycket av detta tål att repeteras:
“-Det jag gillar bäst med Lauterbach är dess förmåga att hantera tracedata. Om du har möjligheten att använda trace, bör du absolut göra det. Sättet som Lauterbach hanterar och presenterar tracedata på är fantastisk och jag kan inte säga att jag har hittat ett bättre verktyg att hitta buggar med. Se bilden nedan till höger: Att kunna visa trace chart med symboler (vänster) tracedatan (mitten) och källkoden (höger) i track mode, vilket betyder att när du klickar i ett av fönsterna hänger de andra två med till den raden av kod. Detta gör det väldigt enkelt att hitta buggar i koden.
Med Lauterbach kan du också använda CTS (Context Tracking System) dvs debugga din tracedata. I CTS mode kan du alltså stega baklänges i din källkod och se hur ditt system förändras i varje state.” /Björn Skånberg, Supportingenjör på Nohau Solutions AB
Vad är skillnaden mellan CodeSonar och ”smalare” lösningar, t.ex. cpp-check?
Olika statiska analysverktyg skiljer sig åt i stor utsträckning. Smalare verktyg kan användas för att hitta grundläggande buggar i kod, men är inte jämförbara med avancerade verktyg som CodeSonar. Kolla i denna video för vad du kan göra med CodeSonar.
CodeSonar 4.5, som släpps efter sommaren, innehåller en helt ny funktion: CodeSonar Risk Dashboard. Dashboarden visar säkerhetsproblem och programkvalitet på en övergripande nivå och ger uppgifter som behövs för att förbättra beslut om investeringar i säkerhet.
Hitta källorna till skadlig data med CodeSonars kodvisualisering
Med CodeSonar kan man göra en analys som spårar potentiellt farliga dataflöden i kod. Resultaten av att analysera denna “tainted data” kan ses som en överlagring direkt på koden eller visas genom en grafisk visualisering av programmets arkitektur. Detta gör det möjligt för ingenjörer att se de datavägar som är manuellt svårupptäckta.
Kodgranskningar (eller inspektioner) är ett effektivt sätt att minska defekter i mjukvaruprojekt. Kodgranskning är därför en viktig, men tidskrävande, del av bra mjukvaruutveckling. Läs detta inlägg för att se hur statisk analys kan hjälpa till vid kodgranskning.
Integration mellan CodeSonar och Wind River Workbench (Eclipse)
Med denna integration kan programvaruutvecklare annotera och lösa de programmässiga sårbarheter som CodeSonar lyfter fram utan att lämna utvecklingsmiljön Wind River Workbench, vilket därmed väsentligt ökar produktiviteten.
emCrypt – det kryptografiska biblioteket för inbyggda system
Säkerhet har aldrig varit så viktigt som nu med explosionen av enheter som är anslutna till Internet.
emCrypt från Segger tillhandahåller byggstenarna för att säkra dagens protokoll. emCrypt är ett komplett mjukvarubibliotek med kryptografiska algoritmer med hög prestanda. Det innehåller alla moduler som implementerar den nödvändiga funktionaliteten för att använda SSH.
Allt finns i källkod (skrivet helt i C) för att tillåta fullständig kontroll över koden som används i produkten och skapa öppenhet för att undvika oro om möjliga bakdörrar eller svaghet i kod, vilket inte kan kontrolleras i förkompilerade bibliotek. Det kan lätt finjusteras för att optimera för mindre eller snabbare kod.
“emCrypt från Segger är en högkvalitetsprodukt, som är portabel till alla system som kan kompilera C-kod. En annan fördel är att man slipper ta hänsyn till GPL eller annan open-source licensiering; det är enbart att integrera. Att kryptobiblioteket är skalbart med avseende på innehåll och hastighet gör att det passar både PC och inbyggda system”, säger Joakim Nilsson, KAM på Nohau Solutions.
emCrypt kommer med ett enkelt men ändå kraftfullt API för att göra användningen av emCrypt i din produkt så enkelt som möjligt.
Det innehåller också exempelapplikationer i källkod som visar hur man använder emCrypt API. Produkten finns i två versioner, beroende på behov: emCrypt BASE och emCrypt PRO
Kontakta Nohau för priser och mer information. sales@nohau.se tel: 040-59 22 00
“Min erfarenhet är att de flesta projekt bara tar höjd för den första leveransen eller produktcykeln. För programvara finns dock stora vinster att hämta i billigare underhåll för plattformar som ska vara i kanske 10 år. Då blir robust kod och arkitektur en fråga för företagsledningen. Därför slår vi ett slag för kodningsstandard och statisk kodanalys som ett medel att framtidssäkra investeringar i mjukvara.”
“Att våra uppkopplade fordon måste vara cyber-säkrade har vi ju alla uppmärksammat vid det här laget. Men, hur når du enklast dit? Virtualisering för separering av kritiska och mindre kritiska delar med hjälp av hårdvara eller en hypervisor ger en möjlighet till en robust arkitektur. Kompletterande skydd ger brandväggar på ethernet- och CAN-bussar.” /Mikael Johnsson, CEO, Nohau Solutions AB
Snabbare till kvalitet med statisk kodanalys o MISRA
MISRA i all ära, men det finns massor av kodningsmissar som standarden inte täcker. Säkerhetshål och concurrency-problem tillhör några av de lurigaste att hitta. I en artikel från GrammaTech belyses en del av dessa. Mer om “Accelerating Automotive Software Safety with MISRA and Static Analysis”..
