物聯(lián)網(wǎng) （IoT） 支持基于互操作通信技術(shù)的物理和虛擬設(shè)備的互連。最終，這將導(dǎo)致大部分電子設(shè)備具有網(wǎng)絡(luò)連接性——這些設(shè)備的每個制造商都必然會進入軟件業(yè)務(wù)。這將嵌入式軟件置于物聯(lián)網(wǎng)技術(shù)發(fā)展的中心，因為它現(xiàn)在是其關(guān)鍵技術(shù)基礎(chǔ)。

由于物聯(lián)網(wǎng)的發(fā)展，由于責(zé)任范圍擴大到全新的平臺和服務(wù)類別，對安全性的需求重新定義。Gartner 預(yù)測，超過 50% 的物聯(lián)網(wǎng) （IoT） 設(shè)備制造商將仍然無法解決安全實踐薄弱所帶來的威脅。雖然安全漏洞在任何情況下都是有問題的，但對于物聯(lián)網(wǎng)應(yīng)用程序，當(dāng)安全性受到威脅時，安全性可能會成為一個問題，因為其中一些為醫(yī)療設(shè)備、汽車、制造設(shè)備等安全關(guān)鍵產(chǎn)品提供動力。

一旦開發(fā)人員開始編寫代碼，安全漏洞就會進入產(chǎn)品，不幸的是，許多漏洞直到很久以后才被發(fā)現(xiàn)。物聯(lián)網(wǎng)設(shè)備通常不使用通常關(guān)注安全緩解措施的傳統(tǒng)互聯(lián)網(wǎng)協(xié)議。相反，許多人使用傳統(tǒng)互聯(lián)網(wǎng)協(xié)議和行業(yè)特定/專有協(xié)議的組合，這使得現(xiàn)有的滲透工具（例如針對 HTTP 接口或 SQL 注入攻擊的工具）更難應(yīng)用于物聯(lián)網(wǎng)嵌入式設(shè)備。嵌入式協(xié)議幾乎不受現(xiàn)有滲透工具的影響，僅僅是因為它們不了解所使用的協(xié)議。

因此，未診斷的網(wǎng)絡(luò)安全漏洞可能仍然潛伏著。為了應(yīng)對這種威脅，需要在開發(fā)過程中解決安全問題，因為在這些先進系統(tǒng)已經(jīng)發(fā)貨后重新設(shè)計它們的成本太高。開發(fā)安全的應(yīng)用程序需要在開發(fā)的所有階段始終保持警惕。這意味著在目標(biāo)硬件上編寫代碼、集成模塊和測試編譯的二進制文件時，使用能夠檢測可能漏洞的工具。

一種識別和測試安全漏洞的新方法

當(dāng)今安全測試人員最常用的工具之一是靜態(tài)應(yīng)用程序安全測試 （SAST）。SAST 旨在分析應(yīng)用程序源代碼、字節(jié)代碼和二進制文件中的常見漏洞，包括可能導(dǎo)致潛在安全漏洞的編碼和設(shè)計條件。從理論上講，采用 SAST 是一種很好的開發(fā)實踐，因為它使開發(fā)人員能夠了解軟件是否存在任何問題、有多少問題以及它們在哪里以及在哪里。

但是，此方法不是一個包羅萬象的解決方案，因為 SAST 工具實際上并不執(zhí)行代碼。相反，他們試圖通過分析語法、語義和變量估計等元素以及控制和數(shù)據(jù)流來識別代碼中的問題，從而了解代碼在“幕后”所做的事情，以識別錯誤所在。

SAST 工具通常也是基于規(guī)則的，并且在開發(fā)周期的后期運行，單獨使用的結(jié)果可能會產(chǎn)生潛在的誤報（當(dāng)工具報告可能的漏洞而不是實際漏洞時）。這通常會讓安全工程師在識別真正的漏洞時尋找“大海撈針”。此外，許多 SAST 工具僅有助于零風(fēng)險部分的代碼，以幫助開發(fā)人員更有效地發(fā)現(xiàn)缺陷，而不是自動發(fā)現(xiàn)實際的安全問題。這可能導(dǎo)致耗時的過程和不完整的分析，這可能對軟件開發(fā)過程有害。

為了解決這些問題，有一些新的動態(tài)單元測試方法通過生成測試用例和確認(rèn)可利用性來實際暴露軟件缺陷。利用 MITRE 的常見弱點枚舉 （CWE） 分類，該方法使用自動化軟件測試方法來詢問應(yīng)用程序的軟件代碼并識別可能的弱點。

社區(qū)開發(fā)的 CWE 列表用作描述架構(gòu)和代碼中軟件安全漏洞的通用語言，并且是用于檢測此類潛在漏洞的工具的標(biāo)準(zhǔn)通用詞典。在 CWE 分類中，使用動態(tài)測試可以突出漏洞的許多弱點 - 特別是任何具有硬錯誤的東西，例如使用空指針或除以零。

使用動態(tài)測試，一旦發(fā)現(xiàn)潛在的 CWE，就會生成并執(zhí)行利用已識別問題的測試。執(zhí)行后，測試工具可以分析執(zhí)行跟蹤并確定潛在的 CWE 是否是真正的威脅。然后可以將該問題歸類為常見漏洞和暴露 （CVE）。

【圖1 | 動態(tài)單元測試方法可以通過生成測試用例并確認(rèn)可利用性來暴露軟件缺陷。一旦發(fā)現(xiàn)潛在的 CWE，就會生成并執(zhí)行利用已識別問題的測試。執(zhí)行后，測試工具會分析執(zhí)行軌跡并判斷潛在的 CWE 是否是真正的威脅，然后將其歸類為 CVE。］

該方法基于導(dǎo)致特定軟件問題的執(zhí)行的“綜合”（例如，自動構(gòu)建利用給定漏洞的動態(tài)測試），允許識別和自動測試未診斷的網(wǎng)絡(luò)安全漏洞。然后將此漏洞利用的構(gòu)建與其動態(tài)執(zhí)行配對，以確定漏洞是否可利用。這種類型的動態(tài)測試對代碼進行前期分析，以檢測可能包含誤報的潛在問題（類似于靜態(tài)分析器）。但是，一旦確定了潛在問題，它還會嘗試執(zhí)行“自動漏洞利用構(gòu)建”。

與基于靜態(tài)分析的方法不同，這種類型的軟件安全測試只會在真正可利用的情況下標(biāo)記問題，從而減少誤報問題。測試工件的生成允許它們將來重新執(zhí)行，以證明軟件重新設(shè)計后潛在問題的緩解。

這變得至關(guān)重要，因為隨著新技術(shù)不斷發(fā)展改變威脅格局，安全性比以往任何時候都更加重要。每個開發(fā)團隊都需要一個全面的流程來實現(xiàn)其應(yīng)用程序安全目標(biāo)。動態(tài)測試可以通過生成測試用例并確認(rèn)可利用性來更明確地發(fā)現(xiàn)漏洞，從而進一步暴露軟件中的缺陷，最終創(chuàng)建更安全的產(chǎn)品。

審核編輯：郭婷