A fordító eszköz képesítés funkcionális biztonsághoz és kiberbiztonsághoz
2020 -ban az Egyesült Nemzetek Szervezetének Európai Gazdasági Bizottsága közzétette a járművek jóváhagyására vonatkozó egységes rendelkezésekre vonatkozó rendeletet a kiberbiztonság és a kiberbiztonsági menedzsment rendszer, más néven WP.29.
Az EU-ban, Japánban, Koreában és az Egyesült Királyságban ezt a rendeletet beépítik a járműtípus jóváhagyására vonatkozó jogszabályokba, így a kiberbiztonság megfelelése nem tárgyalható a piaci hozzáférés biztosításához.
Noha a WP.29 nem említi az ISO/SAE 21434: 2021 közúti járműveket -CybereSecurity Engineering Standard, érthető, hogy ha egy OEM és ellátási lánca bizonyítani tudja ennek a szabványnak a betartását, akkor ez a megfelelés felhasználható annak igazolására, hogy igazolhassa a megfelelést a megfelelésnek a megfelelés igazolására a megfeleléshez WP.29 Szabályozás. Az ISO kiberbiztonsági szabványának való megfelelés bizonyításának meg kell védenie az OEM -eket és beszállítóit a felelősségtől.
Fordító képesítés
Az ISO 26262 Standard egy fejezetet a kritériumoknak szentel annak meghatározására, hogy a szoftver eszközben szereplő bizalom szintjét meghatározzák, és módszereket kínál az eszköz minősítésére, hogy bizonyítékot készítsen arra, hogy a funkcionális biztonsággal kapcsolatos szoftverfejlesztéshez alkalmas.
Négy módszer minősíti a szoftver eszközt: megnövekedett bizalom a használatból; a fejlesztési folyamat értékelése; a szoftver eszköz validálása; és fejlesztés a biztonsági szabványnak megfelelően.
A magasabb autóbiztonsági integritási szintek (ASIL) esetében csak az utóbbi két módszer megfelelő. Az eszköz validálása azt jelenti, hogy intézkedéseket kell alkalmazni annak igazolására, hogy a szoftver eszköz megfelel a meghatározott célokra vonatkozó követelményeknek.
Két különböző megközelítést alkalmaznak az ISO 26262 szerszám érvényesítési követelményeinek való megfeleléshez. Egyes fordító beszállítói házon belül végrehajtják az eszköz validálását, és felhívják a megfelelőségi értékelő testületet, hogy igazolják, hogy az eszköz és annak biztonsági dokumentációja megfelelő. Az ügyfél kap egy tanúsított fordító eszközkészletet, és csak az iránymutatásokat kell alkalmaznia a biztonsági kézikönyvből, hogy megmutassa, hogy a felhasználási eset kompatibilis a minősített felhasználási tokkal. Más szállítók tanúsítható (versus tanúsítvánnyal) fordító eszközkészletet kínálnak, valamint egy eszköz képesítési módszertant támogató eszközökkel és dokumentációval.
A szerszámminősítési módszertan általában tanúsítvánnyal rendelkezik, és az ügyfélnek elvégeznie kell a szerszámminősítést, amelyet összefoglalhat:
* A felhasználási eset meghatározása az eszköz által teljesítendő követelmények meghatározására
* A megfelelő tesztek kiválasztása a követelmények ellenőrzéséhez
* A tesztek elvégzése és a teszt eredményeinek elemzése
* A biztonsági dokumentáció előállítása és az útmutatás alkalmazása a biztonsági dokumentumokból.
Rejtett költségek merülnek fel ezzel a megközelítéssel, például a képesítési módszertan és a kapcsolódó szerszámok megtanulása, a szükséges tesztkészletek engedélyezése, az eszköz validálási folyamatának végrehajtása, a tanúsítóval való interakció és végül, mit kell tenni, ha a tesztek kudarcot vallnak.
Fordító képesítés
A fordító módosíthatja (optimalizálhatja) a program viselkedését olyan módon, amelyet a programozó nem látott. A szoftverfejlesztő strukturális szándékát nem lehet pontosan ábrázolni a forrásprogram végső ábrázolásában, és a fordító befolyásolhatja a szoftver biztonságát.
Az ISO funkcionális biztonsági (FUSA) szabványtól eltérően az ISO kiberbiztonsági szabvány (ISO 21434 5.4.7. Szakasz) nem határozza meg az eszköz képesítési követelményeit. A kiberbiztonsághoz kapcsolódó szoftverek kidolgozásához szükséges konfidencia szintjének meghatározására szolgáló kritériumok ismeretlenek, és nincs meghatározva annak bizonyítása, hogy a kiberbiztonsággal kapcsolatos kritériumok teljesültek.
Az ISO szabvány hivatkozásokat tartalmaz az ISO funkcionális biztonsági szabványra. Az ISO 26262 szabvány bevált eszköz validálási módszere alkalmas a kiberbiztonsági szabályozás kompatibilis szoftverének kidolgozására használt fordító eszközkészlet minősítésére. Ennek a módszernek a alkalmazásához ki kell állítani a kiberbiztonsággal kapcsolatos szoftverek fejlesztésére szolgáló eszköz validálási kritériumait.
Szerszám érvényesítés
Az eszköz validálási kritériumaihoz hasonlóan a funkcionális biztonság szempontjából a kiberbiztonság szerszámának validálásának kritériumai olyan intézkedésekként határozhatók meg, amelyek bizonyítékot szolgáltatnak arra, hogy a szoftver eszköz megfelel a meghatározott kiberbiztonsági követelményeknek.
A kiberbiztonsági kockázatokat, amelyeket a szoftver eszköz bevezethet, és a megfelelő viselkedésüket, elemezni kell a lehetséges következményekkel kapcsolatos információkkal és azok elkerülésére vagy felismerésére irányuló intézkedésekkel.
Meg kell vizsgálni a szoftver eszköz reakcióját a rendellenes működési feltételekre is.
A Nemzeti kiberbiztonsági FFRDC által kifejlesztett Mission Assurance Engineering (MAE) folyamat felhasználható a fordító eszközkészlet kiberbiztonsági követelményeinek meghatározására. Ez a folyamat kompatibilis az ISO 21434 15. fejezet fenyegetési elemzésével és a kockázatértékelési módszerekkel. Ha a MAE folyamatot a szerszámszolgáltató végzi, és az eredményeket a biztonsági és kiberbiztonsági dokumentációban írják le, ez kiküszöböli az eszköz felhasználójának szükségességét az eszköz validálásának végrehajtására.
Az eszközfelhasználónak ki kell értékelnie a konkrét felhasználási esethez kapcsolódó maradékkockázatot, amely az iránymutatások alkalmazása után megmarad.
A szerszámszállítónak elemeznie kell a szoftver eszköz reakcióját a rendellenes működési feltételekre a MAE folyamat felhasználásával. A megállapításokat iránymutatásokba fordítják, és szerepelnek az eszközök biztonsági és kiberbiztonsági kézikönyvében. Az eszközfelhasználónak be kell tartania a megadott irányelveket, és ki kell értékelnie a felhasználási eset maradványkockázatát.
A MAE folyamat (1. ábra) analitikus megközelítést biztosít a számítógépes eszközök azonosításához, amelyek legkritikusabbak a misszió megvalósításához, megértsék az ezen eszközök kiberbetegségeinek és a kapcsolódó kockázatoknak az ehhez kapcsolódó kockázatait, és válasszon enyhítő intézkedéseket a támadások révén.
A meghibásodási mód és az effektusok elemzése (FMEA), valamint a fenyegetés -értékelés és a kármentesítési elemzés (TARA) biztosítja a szerszámfelhasználó szoftverének integritását, nem pedig a fordító eszközkészlet integritását az ISO 21434 céljával összhangban. Az elektronikus rendszerek olyan közúti járműveken belül, ahol a járműn kívüli rendszerek nem tartoznak az ISO 21434 körében. Fontos, hogy mind az eszköz szállítója, mind a felhasználó megfeleljen az IT biztonsági szabványnak is.
Az FMEA -t használják azon potenciális kiberbiztonsági kockázatok azonosítására, amelyeket a fordító eszközkészlet bevezethet a felhasználó szoftverébe. A fordító eszköz célja az összeállított szoftver viselkedése, hogy megfeleljen a felhasználó szándékának mind normál, mind kiberbiztonsági támadási körülmények között. Az ISO C és C ++ nyelvi specifikáció lehetővé teszi a fordító mérnökei számára, hogy az ISO C és C ++ szabványok legális értelmezése alapján helytállóak olyan átalakításokat, amelyek helyesek, de sok szoftverprogramozó meglepne. Ezért hasznos, ha az FMEA-t egy mérnökök csoportja hajtja végre, akik alaposan megértik a fordítói követelményeket, az építészetet, a tervezést és a megvalósítást. Minden azonosított hiba mód esetén egy vagy több enyhítő intézkedést kell biztosítani a kockázat csökkentésére.
A TARA módszertan azonosítja és felméri a kiberbiztonságokat, és kiválasztja az ellenintézkedéseket ezen sebezhetőségek enyhítésére. A módszertan kompatibilis az ISO 21434 követelményeivel.
A TARA munkafolyamat (2. ábra) a rendszer műszaki részleteit használja a rendszer architektúra kibermodellének felépítéséhez. Ez alapot nyújt a katalógus sikeres támadási vektorok kereséséhez. A szokásos támadási mintázat felsorolása és osztályozási adatbázis használható, és a támadási vektorok listáját kiszűrjük és a becsült kockázat szerint rangsorolják. A sebezhetőségek listáját a katalógus enyhítő feltérképezési adataival kombinálják, hogy azonosítsák az ellenintézkedések kezdeti listáját, amelyet kiszűrnek és rangsorolnak a becsült hasznossági és életciklusköltség alapján, az enyhítő leképezési táblázat előállításával.
Az ellenintézkedéseket a költségek és a kockázati tolerancia szintje alapján választják meg, hogy létrehozzák a megoldás hatékonysági táblázatát, amely felsorolja az ajánlott ellenintézkedéseket/enyhítéseket, és részleteket nyújt az egyes ellenintézkedések hatékonyságáról a vizsgált sebezhetőségek tartományában. Más adatbázisokból származó információk, például a CWE (szoftver és hardver gyengeségtípusok) és a CVE (nyilvánosságra hozatali kiberbiztonsági sebezhetőség) is felhasználhatók.
A kiberbiztonság dinamikus jellege azt jelenti, hogy a fenti elemzések rendszeres ismétlése szükséges.
Az FMEA és a Tara eredménye
A fordító által kiváltott sebezhetőségek osztályozhatók a szokásos sebezhetőségi osztályokhoz, az oldalsó csatorna-támadásokhoz, a meghatározatlan viselkedéshez és a tartós állami jogsértésekhez. A kapcsolódó enyhítések a kiberbiztonsággal kapcsolatos követelmények, amelyeket az eszközszolgáltatónak kell végrehajtania. Ide tartoznak a halmozott megsemmisítő támadások elleni védelem a fordítóval elhelyezett veremkariárok révén, a puffer-túlfolyás észlelésére szolgáló intézkedések vagy a memória elrendezésének randomizációjának támogatására vonatkozó rendelkezések.
Az eszközfelhasználónak meg kell felelnie az általános kódolási útmutatásoknak és az adott használt eszközkészletre vonatkozó iránymutatásoknak. A Motor Ipari Szoftver megbízhatóságának (MISRA) betartása minimálisnak tekinthető, és a SEI CERT C/C ++ kódolási iránymutatások betartása átfogóbb megelőzést nyújt. Az adott fordító eszközkészletre vonatkozó iránymutatások nagymértékben függnek a fordító gyártó általi optimalizálásától.
Egyes gyártók azt állítják, hogy a FUSA és a kiberbiztonsági követelmények gátolják a fordító által alkalmazott összes optimalizálást, míg néhány fordító fejlesztője az ISO C szabvány nagyon legális értelmezését alkalmazza, és a fordító által kiváltott kiberbiztonsági kockázatokat a felhasználó elégtelen megértésének mellékhatásaként tekinti a programozási nyelvről. -
A középső helyet azok tartják, akik úgy vélik, hogy az optimalizációknak nem kell bevezetniük a FUSA és a kiberbiztonsági kockázatokat, ha, és csak akkor, ha a fordító elegendő diagnosztikai információt nyújt az alkalmazott optimalizációkról, hogy az eszköz felhasználóját tudatosítsák a lehetséges következményekkel.
