物聯(lián)網(wǎng) （IoT） 支持基于互操作通信技術(shù)的物理和虛擬設(shè)備的互連。最終，這將導(dǎo)致大部分電子設(shè)備具有網(wǎng)絡(luò)連接性——這些設(shè)備的每個制造商都必然會進入軟件業(yè)務(wù)。這將嵌入式軟件置于物聯(lián)網(wǎng)技術(shù)發(fā)展的中心，因為它現(xiàn)在是其關(guān)鍵技術(shù)基礎(chǔ)。

由于物聯(lián)網(wǎng)的發(fā)展，由于責(zé)任范圍擴大到全新的平臺和服務(wù)類別，對安全性的需求重新定義。Gartner 預(yù)測，超過 50% 的物聯(lián)網(wǎng) （IoT） 設(shè)備制造商將仍然無法解決安全實踐薄弱所帶來的威脅。雖然安全漏洞在任何情況下都是有問題的，但對于物聯(lián)網(wǎng)應(yīng)用程序，當(dāng)安全性受到威脅時，安全性可能會成為一個問題，因為其中一些為醫(yī)療設(shè)備、汽車、制造設(shè)備等安全關(guān)鍵產(chǎn)品提供動力。

一旦開發(fā)人員開始編寫代碼，安全漏洞就會進入產(chǎn)品，不幸的是，許多漏洞直到很久以后才被發(fā)現(xiàn)。物聯(lián)網(wǎng)設(shè)備通常不使用通常關(guān)注安全緩解措施的傳統(tǒng)互聯(lián)網(wǎng)協(xié)議。相反，許多人使用傳統(tǒng)互聯(lián)網(wǎng)協(xié)議和行業(yè)特定/專有協(xié)議的組合，這使得現(xiàn)有的滲透工具（例如針對 HTTP 接口或 SQL 注入攻擊的工具）更難應(yīng)用于物聯(lián)網(wǎng)嵌入式設(shè)備。嵌入式協(xié)議幾乎不受現(xiàn)有滲透工具的影響，僅僅是因為它們不了解所使用的協(xié)議。

因此，未診斷的網(wǎng)絡(luò)安全漏洞可能仍然潛伏著。為了應(yīng)對這種威脅，需要在開發(fā)過程中解決安全問題，因為在這些先進系統(tǒng)已經(jīng)發(fā)貨后重新設(shè)計它們的成本太高。開發(fā)安全的應(yīng)用程序需要在開發(fā)的所有階段始終保持警惕。這意味著在目標(biāo)硬件上編寫代碼、集成模塊和測試編譯的二進制文件時，使用能夠檢測可能漏洞的工具。

一種識別和測試安全漏洞的新方法

當(dāng)今安全測試人員最常用的工具之一是靜態(tài)應(yīng)用程序安全測試 （SAST）。SAST 旨在分析應(yīng)用程序源代碼、字節(jié)代碼和二進制文件中的常見漏洞，包括可能導(dǎo)致潛在安全漏洞的編碼和設(shè)計條件。從理論上講，采用 SAST 是一種很好的開發(fā)實踐，因為它使開發(fā)人員能夠了解軟件是否存在任何問題、有多少問題以及它們在哪里以及在哪里。

但是，此方法不是一個包羅萬象的解決方案，因為 SAST 工具實際上并不執(zhí)行代碼。相反，他們試圖通過分析語法、語義和變量估計等元素以及控制和數(shù)據(jù)流來識別代碼中的問題，從而了解代碼在“幕后”所做的事情，以識別錯誤所在。

SAST 工具通常也是基于規(guī)則的，并且在開發(fā)周期的后期運行，單獨使用的結(jié)果可能會產(chǎn)生潛在的誤報（當(dāng)工具報告可能的漏洞而不是實際漏洞時）。這通常會讓安全工程師在識別真正的漏洞時尋找“大海撈針”。此外，許多 SAST 工具僅有助于零風(fēng)險部分的代碼，以幫助開發(fā)人員更有效地發(fā)現(xiàn)缺陷，而不是自動發(fā)現(xiàn)實際的安全問題。這可能導(dǎo)致耗時的過程和不完整的分析，這可能對軟件開發(fā)過程有害。

為了解決這些問題，有一些新的動態(tài)單元測試方法通過生成測試用例和確認可利用性來實際暴露軟件缺陷。利用 MITRE 的常見弱點枚舉 （CWE） 分類，該方法使用自動化軟件測試方法來詢問應(yīng)用程序的軟件代碼并識別可能的弱點。

社區(qū)開發(fā)的 CWE 列表用作描述架構(gòu)和代碼中軟件安全漏洞的通用語言，并且是用于檢測此類潛在漏洞的工具的標(biāo)準(zhǔn)通用詞典。在 CWE 分類中，使用動態(tài)測試可以突出漏洞的許多弱點 - 特別是任何具有硬錯誤的東西，例如使用空指針或除以零。

使用動態(tài)測試，一旦發(fā)現(xiàn)潛在的 CWE，就會生成并執(zhí)行利用已識別問題的測試。執(zhí)行后，測試工具可以分析執(zhí)行跟蹤并確定潛在的 CWE 是否是真正的威脅。然后可以將該問題歸類為常見漏洞和暴露 （CVE）。

【圖1 | 動態(tài)單元測試方法可以通過生成測試用例并確認可利用性來暴露軟件缺陷。一旦發(fā)現(xiàn)潛在的 CWE，就會生成并執(zhí)行利用已識別問題的測試。執(zhí)行后，測試工具會分析執(zhí)行軌跡并判斷潛在的 CWE 是否是真正的威脅，然后將其歸類為 CVE。］

該方法基于導(dǎo)致特定軟件問題的執(zhí)行的“綜合”（例如，自動構(gòu)建利用給定漏洞的動態(tài)測試），允許識別和自動測試未診斷的網(wǎng)絡(luò)安全漏洞。然后將此漏洞利用的構(gòu)建與其動態(tài)執(zhí)行配對，以確定漏洞是否可利用。這種類型的動態(tài)測試對代碼進行前期分析，以檢測可能包含誤報的潛在問題（類似于靜態(tài)分析器）。但是，一旦確定了潛在問題，它還會嘗試執(zhí)行“自動漏洞利用構(gòu)建”。

與基于靜態(tài)分析的方法不同，這種類型的軟件安全測試只會在真正可利用的情況下標(biāo)記問題，從而減少誤報問題。測試工件的生成允許它們將來重新執(zhí)行，以證明軟件重新設(shè)計后潛在問題的緩解。

這變得至關(guān)重要，因為隨著新技術(shù)不斷發(fā)展改變威脅格局，安全性比以往任何時候都更加重要。每個開發(fā)團隊都需要一個全面的流程來實現(xiàn)其應(yīng)用程序安全目標(biāo)。動態(tài)測試可以通過生成測試用例并確認可利用性來更明確地發(fā)現(xiàn)漏洞，從而進一步暴露軟件中的缺陷，最終創(chuàng)建更安全的產(chǎn)品。

審核編輯：郭婷