Kelayakan Alat Penyusun untuk Keselamatan Fungsian dan Keselamatan Siber
Pada tahun 2020, Suruhanjaya Ekonomi Pertubuhan Bangsa -Bangsa Bersatu untuk Eropah mengeluarkan peraturan mengenai peruntukan seragam mengenai kelulusan kenderaan berkenaan dengan sistem pengurusan keselamatan siber dan siber, yang juga dikenali sebagai WP.29.
Di EU, Jepun, Korea dan UK, peraturan ini dimasukkan ke dalam undang-undang untuk kelulusan jenis kenderaan, memberikan pematuhan keselamatan siber sebagai tidak boleh dirunding untuk mendapatkan akses pasaran.
Walaupun WP.29 tidak menyebutkan ISO/SAE 21434: 2021 Kenderaan Jalan Raya -Standard Kejuruteraan Keselamatan, difahami bahawa jika OEM dan rantaian bekalannya dapat menunjukkan pematuhan dengan standard ini, maka pematuhan itu dapat digunakan untuk menunjukkan pematuhan dengan pematuhan dengan pematuhan Peraturan WP.29. Menunjukkan pematuhan dengan standard keselamatan siber ISO harus melindungi OEM dan pembekal mereka dari liabiliti.
Kelayakan pengkompil
Standard ISO 26262 menumpukan satu bab untuk kriteria untuk menentukan tahap keyakinan yang diperlukan dalam alat perisian dan menyediakan kaedah untuk memenuhi syarat alat untuk membuat bukti bahawa ia sesuai untuk digunakan untuk pembangunan perisian berkaitan keselamatan berfungsi.
Empat kaedah memenuhi syarat alat perisian: peningkatan keyakinan daripada penggunaan; penilaian proses pembangunan; pengesahan alat perisian; dan pembangunan mengikut piawaian keselamatan.
Untuk tahap integriti keselamatan automotif yang lebih tinggi (ASIL), hanya dua kaedah yang kedua yang sesuai. Pengesahan alat bermakna menggunakan langkah -langkah untuk membuktikan bahawa alat perisian memenuhi keperluan tertentu untuk tujuannya.
Dua pendekatan yang berbeza digunakan untuk memenuhi keperluan pengesahan alat ISO 26262. Sesetengah pembekal penyusun melakukan pengesahan alat di dalam rumah dan menjemput badan penilaian kesesuaian untuk mengesahkan bahawa alat dan dokumentasi keselamatannya sesuai untuk tujuan. Pelanggan menerima alat pengkompil yang disahkan dan hanya perlu memohon garis panduan dari manual keselamatan untuk menunjukkan bahawa kes penggunaan bersesuaian dengan kes penggunaan yang berkelayakan. Vendor lain menawarkan alat pengkompil yang disahkan (berbanding bersertifikat) ditambah dengan metodologi kelayakan alat dengan alat sokongan dan dokumentasi.
Metodologi kelayakan alat umumnya disahkan dan pelanggan mesti melaksanakan kelayakan alat, yang boleh diringkaskan sebagai:
* Menentukan kes penggunaan untuk menentukan keperluan yang akan dipenuhi oleh alat tersebut
* Memilih ujian yang sesuai untuk mengesahkan keperluan tersebut
* Melaksanakan ujian dan menganalisis hasil ujian
* Menjana dokumentasi keselamatan dan memohon panduan dari dokumen keselamatan.
Terdapat kos tersembunyi dengan pendekatan ini, seperti mempelajari metodologi kelayakan dan perkakas yang berkaitan, melesenkan suite ujian yang diperlukan, melaksanakan proses pengesahan alat, berinteraksi dengan pensijilan dan akhirnya, apa yang perlu dilakukan jika ujian gagal.
Kelayakan pengkompil
Penyusun boleh mengubah suai (mengoptimumkan) tingkah laku program dengan cara yang tidak dijangka oleh pengaturcara. Niat struktur pemaju perisian mungkin tidak digambarkan dengan tepat dalam perwakilan akhir program sumber dan pengkompil dapat mempengaruhi keselamatan perisian.
Tidak seperti standard Keselamatan Fungsi ISO (FUSA), standard keselamatan siber ISO (ISO 21434 Seksyen 5.4.7 Pengurusan Alat) tidak menentukan keperluan kelayakan alat. Kriteria untuk menentukan tahap keyakinan yang diperlukan dalam alat pengkompil untuk pembangunan perisian berkaitan keselamatan siber tidak diketahui dan tiada kaedah ditentukan untuk menunjukkan bahawa kriteria berkaitan keselamatan siber telah dipenuhi.
Standard ISO mengandungi rujukan kepada standard keselamatan fungsi ISO. Kaedah pengesahan alat terbukti dari piawaian ISO 26262 sesuai untuk memenuhi syarat alat pengkompil yang digunakan dalam pembangunan perisian yang mematuhi peraturan keselamatan siber. Untuk menggunakan kaedah ini, kriteria pengesahan alat untuk pembangunan perisian yang berkaitan dengan keselamatan siber perlu diwujudkan.
Pengesahan alat
Analogi dengan kriteria pengesahan alat untuk keselamatan fungsional, kriteria untuk pengesahan alat untuk keselamatan siber boleh ditentukan sebagai langkah untuk memberikan bukti bahawa alat perisian mematuhi keperluan keselamatan siber yang ditentukan.
Risiko keselamatan siber yang boleh diperkenalkan oleh alat perisian dan tingkah laku yang sepadan mereka akan dianalisis dengan maklumat mengenai kemungkinan akibat dan dengan langkah -langkah untuk mengelakkan atau mengesannya.
Reaksi alat perisian kepada keadaan operasi anomali juga akan diperiksa.
Proses Kejuruteraan Jaminan Misi (MAE) yang dibangunkan oleh FFRDC Keselamatan Siber Negara boleh digunakan untuk menentukan keperluan keselamatan siber dari alat pengkompil. Proses ini serasi dengan Kaedah Analisis Ancaman dan Penilaian Risiko ISO 21434 Bab 15. Jika proses MAE dilakukan oleh vendor alat dan hasilnya diterangkan dalam dokumentasi keselamatan dan keselamatan siber, ini menghapuskan keperluan pengguna alat untuk melakukan pengesahan alat.
Pengguna alat mesti menilai risiko sisa yang berkaitan dengan kes penggunaan tertentu yang kekal selepas menggunakan garis panduan.
Pembekal alat perlu menganalisis tindak balas alat perisian kepada keadaan operasi anomali menggunakan proses MAE. Penemuan ini diterjemahkan ke dalam garis panduan dan dimasukkan ke dalam Manual Keselamatan dan Keselamatan Siber. Pengguna alat mesti melaksanakan garis panduan yang disediakan dan menilai risiko sisa untuk kes penggunaan.
Proses MAE (Rajah 1) menyediakan pendekatan analitik untuk mengenal pasti aset siber yang paling penting untuk pencapaian misi, memahami ancaman siber dan risiko yang berkaitan dengan aset tersebut dan memilih langkah -langkah mitigasi untuk mencegah dan/atau melawan serangan.
Mod Kegagalan dan Analisis Kesan (FMEA) dan Analisis Penilaian dan Remediasi Ancaman (TARA) memastikan integriti perisian pengguna alat, dan bukannya integriti alat pengkompil selaras dengan tujuan ISO 21434 untuk menangani keselamatan siber dalam elektrik dan Sistem elektronik dalam kenderaan jalan raya di mana sistem luaran kenderaan tidak berada dalam skop ISO 21434. Integriti alat pengkompil dan fail yang dikendalikan oleh ditadbir oleh piawaian lain seperti ISO/IEC 27001 (Pengurusan Keselamatan Maklumat). Adalah penting bahawa kedua -dua pembekal alat dan pengguna juga mematuhi piawaian keselamatan IT.
FMEA digunakan untuk mengenal pasti potensi risiko keselamatan siber yang boleh diperkenalkan oleh alat pengkompil ke dalam perisian pengguna. Objektif alat pengkompil adalah untuk tingkah laku perisian yang disusun untuk memenuhi niat pengguna di bawah kedua -dua keadaan normal dan di bawah keadaan serangan siber. Spesifikasi bahasa ISO C dan C ++ membolehkan jurutera pengkompil memohon transformasi pada perisian yang betul berdasarkan tafsiran undang -undang mengenai piawaian ISO C dan C ++, tetapi yang akan mengejutkan banyak pengaturcara perisian. Oleh itu, adalah bermanfaat jika FMEA dilaksanakan oleh pasukan jurutera yang mempunyai pemahaman yang mendalam tentang keperluan, seni bina, reka bentuk dan pelaksanaan penyusun. Bagi setiap mod kegagalan yang dikenal pasti, satu atau lebih langkah pengurangan untuk mengurangkan risiko mesti disediakan.
Metodologi TARA mengenal pasti dan menilai kelemahan siber dan memilih tindak balas untuk mengurangkan kelemahan tersebut. Metodologi ini serasi dengan keperluan ISO 21434.
Aliran kerja TARA (Rajah 2) menggunakan butiran teknikal sistem untuk membina model siber seni bina sistem. Ini menyediakan asas untuk mencari katalog untuk vektor serangan yang munasabah. Penghitungan corak serangan biasa dan pangkalan data klasifikasi boleh digunakan dan senarai vektor serangan ditapis dan disenaraikan mengikut risiko yang dinilai. Senarai kelemahan digabungkan dengan data pemetaan mitigasi dari katalog untuk mengenal pasti senarai awal penangguhan, yang ditapis dan disenaraikan berdasarkan kos utiliti dan kitaran hayat yang dinilai, menghasilkan jadual pemetaan mitigasi.
Penangguhan dipilih berdasarkan kos dan tahap toleransi risiko untuk mewujudkan jadual keberkesanan penyelesaian yang menyenaraikan penangguhan/mitigasi yang disyorkan dan memberikan butiran mengenai keberkesanan setiap penangguhan terhadap pelbagai kelemahan yang dinilai. Maklumat dari pangkalan data lain, seperti CWE (jenis kelemahan perisian dan perkakasan) dan CVE (kelemahan keselamatan siber yang didedahkan) juga boleh digunakan.
Sifat dinamik keselamatan siber bermakna pengulangan tetap analisis di atas adalah perlu.
Hasil fmea dan tara
Kerentanan yang disebabkan oleh pengkompil boleh diklasifikasikan sebagai berkaitan dengan kelas kelemahan standard, serangan saluran sampingan, tingkah laku yang tidak jelas dan pelanggaran negara yang berterusan. Mitigasi yang berkaitan adalah keperluan berkaitan dengan keselamatan siber yang mesti dilaksanakan oleh vendor alat. Ini termasuk perlindungan terhadap serangan stack-smashing melalui pengkompil yang diletakkan di kalangan kanari, langkah-langkah untuk mengesan aliran penyangga, atau peruntukan untuk menyokong penggabungan susun atur memori.
Pengguna alat dikehendaki memenuhi garis panduan dan garis panduan pengekodan generik khusus untuk alat pengkompil tertentu yang digunakan. Pematuhan Persatuan Keandalan Perisian Industri Motor (MISRA) dianggap minimum, dan pematuhan kepada garis panduan pengekodan SEI CERT C/C ++ menyediakan pencegahan yang lebih komprehensif. Garis panduan untuk alat pengkompil tertentu bergantung sebahagian besarnya pada pengoptimuman oleh vendor pengkompil.
Sesetengah vendor mendakwa bahawa keperluan FUSA dan cybersecurity menghalang semua pengoptimuman yang digunakan oleh pengkompil, sementara beberapa pemaju pengkompil menggunakan tafsiran yang sangat undang-undang mengenai standard ISO C dan mempertimbangkan risiko keselamatan siber yang disebabkan oleh pengkompil sebagai kesan sampingan pemahaman pengguna yang tidak mencukupi mengenai bahasa pengaturcaraan .
Tanah tengah dipegang oleh mereka yang percaya bahawa pengoptimuman tidak perlu memperkenalkan risiko FUSA dan keselamatan siber jika, dan hanya jika, pengkompil menyediakan maklumat diagnostik yang mencukupi mengenai pengoptimuman yang digunakan untuk menjadikan pengguna alat yang menyedari kemungkinan akibatnya.
