我們正處于安全關(guān)鍵軟件的成本危機(jī)中。現(xiàn)在需要的增加的功能已經(jīng)超出了支付其開發(fā)費(fèi)用的能力。例如， 波音 787 計(jì)劃需要 650 萬行代碼，設(shè)計(jì)、開發(fā)和測試花費(fèi)了 40 億美元。

主要安全關(guān)鍵項(xiàng)目的趨勢顯示總成本呈指數(shù)級(jí)增長，軟件在年度開發(fā)總預(yù)算中占較大比例。使用以前項(xiàng)目中使用的相同技術(shù)，下一個(gè)大型航空航天項(xiàng)目可能無法負(fù)擔(dān)。所以，我們能做些什么？

安全認(rèn)證以及所需的測試和驗(yàn)證是軟件開發(fā)預(yù)算的很大一部分。在開發(fā)生命周期的早期開始軟件測試，同時(shí)利用自動(dòng)化在成本、風(fēng)險(xiǎn)和進(jìn)度方面帶來了巨大的收益，如圖 1 所示。

【圖1 | 商業(yè)航空項(xiàng)目中每行代碼的軟件開發(fā)成本］

創(chuàng)建和發(fā)現(xiàn)錯(cuò)誤的位置以及成本影響

不出所料，大多數(shù)缺陷都是在項(xiàng)目開始時(shí)引入的，甚至在編寫第一行代碼之前。大多數(shù)錯(cuò)誤是在測試過程中發(fā)現(xiàn)并修復(fù)的，但很大一部分（高達(dá) 20%）是在產(chǎn)品發(fā)貨后的操作過程中發(fā)現(xiàn)的。在經(jīng)過認(rèn)證的系統(tǒng)中，這要么意味著極其昂貴的修復(fù)-測試-重新認(rèn)證周期，要么意味著針對(duì)問題的操作員解決方法（圖 2）。

【圖2 | 在不同開發(fā)階段引入和檢測到的缺陷百分比］

在項(xiàng)目的整個(gè)過程中，發(fā)現(xiàn)和修復(fù)缺陷的成本會(huì)成倍增加。最壞的情況是在產(chǎn)品交付給客戶后修復(fù)缺陷。部署后的缺陷修復(fù)成本是保守的，不包括對(duì)您的品牌造成的損害和現(xiàn)場安全事故的責(zé)任（圖 3）。顯然，目標(biāo)是將檢測到并修復(fù)的缺陷移到生命周期的早期——換句話說，“左移”。此外，希望減少傳遞給客戶的缺陷數(shù)量（每個(gè)領(lǐng)域的現(xiàn)實(shí)）。

【圖3 | 在每個(gè)開發(fā)階段查找和修復(fù)錯(cuò)誤的相對(duì)成本。在需求和設(shè)計(jì)期間是基線 （1x） 和修復(fù)缺陷成本最低的地方。］

測試自動(dòng)化在左移中的作用

安全關(guān)鍵軟件行業(yè)認(rèn)識(shí)到需要改變做事的方式。太多的項(xiàng)目試圖重新發(fā)明輪子，而認(rèn)證新軟件既耗時(shí)又昂貴。

新產(chǎn)品的連接性和功能性的增長意味著方法需要改變。任何安全關(guān)鍵項(xiàng)目的很大一部分都是測試，而自動(dòng)化對(duì)于實(shí)現(xiàn)安全、安保和質(zhì)量目標(biāo)是絕對(duì)必要的。以下是測試自動(dòng)化工具如何支持新的軟件開發(fā)方法并提高測試和文檔生產(chǎn)力的示例：

支持敏捷和迭代開發(fā)方法： 了解瀑布方法的問題，許多團(tuán)隊(duì)使用更現(xiàn)代的開發(fā)方法來提高質(zhì)量和安全性。測試自動(dòng)化是任何迭代開發(fā)方法的重要組成部分，因?yàn)闇y試套件在模塊、組件等的每個(gè)新迭代上運(yùn)行。測試自動(dòng)化通過可重復(fù)的自動(dòng)化測試支持這些方法，為每個(gè)測試提供不同級(jí)別的報(bào)告，但也可以累積結(jié)果隨著時(shí)間的推移。動(dòng)態(tài)分析工具對(duì)于檢測難以檢測的運(yùn)行時(shí)錯(cuò)誤至關(guān)重要，而靜態(tài)分析在測試開始前檢測缺陷方面起著重要作用。

支持軟件檢查： 檢查是在開發(fā)生命周期早期消除缺陷的良好實(shí)踐。檢查意味著審查所有內(nèi)容，而不僅僅是源代碼。例如，檢查需求和設(shè)計(jì)對(duì)于防止系統(tǒng)中的主要錯(cuò)誤來源至關(guān)重要（再次圖 2）。許多錯(cuò)誤是從字面上設(shè)計(jì)到系統(tǒng)中的。工具在這個(gè)階段發(fā)揮的作用較小，但確實(shí)提高了代碼審查的有效性。自動(dòng)化單元測試、動(dòng)態(tài)錯(cuò)誤檢測和靜態(tài)分析在項(xiàng)目的早期編碼階段提供了極大改進(jìn)的錯(cuò)誤檢測。自動(dòng)化測試的結(jié)果可以在代碼審查中呈現(xiàn)，從而減少對(duì)手動(dòng)錯(cuò)誤檢測的依賴，并留出更多時(shí)間來檢測不正確的需求和設(shè)計(jì)決策。

提高測試效率： 手動(dòng)測試乏味且可重復(fù)性較差。結(jié)果收集可能是臨時(shí)的，盡管結(jié)果“正確”，但仍可能遺漏錯(cuò)誤。實(shí)現(xiàn)所需的代碼覆蓋率，這取決于安全標(biāo)準(zhǔn)和項(xiàng)目的關(guān)鍵性，很難跟蹤。測試自動(dòng)化不僅減少了測試的乏味和可重復(fù)性，而且高級(jí)測試工具的報(bào)告功能創(chuàng)建了有關(guān)項(xiàng)目狀態(tài)的重要管理信息。添加動(dòng)態(tài)分析（在代碼運(yùn)行時(shí)分析代碼（以檢測棘手的運(yùn)行時(shí)錯(cuò)誤））和靜態(tài)分析（在代碼運(yùn)行之前分析代碼）增加了測試工具的錯(cuò)誤檢測能力。

自動(dòng)化編碼標(biāo)準(zhǔn)合規(guī)性： 許多安全關(guān)鍵項(xiàng)目需要源代碼標(biāo)準(zhǔn)。例如，MISRA 在汽車軟件中很常見，但已在其他行業(yè)中獲得認(rèn)可。一些標(biāo)準(zhǔn)要求代碼符合滿足特定目標(biāo)的公司標(biāo)準(zhǔn)。在每種情況下，手動(dòng)強(qiáng)制執(zhí)行代碼合規(guī)性都是乏味且容易出錯(cuò)的。靜態(tài)分析工具可以強(qiáng)制執(zhí)行合規(guī)性，高級(jí)工具通過檢測超出格式違規(guī)的錯(cuò)誤更進(jìn)一步。

自動(dòng)化認(rèn)證文檔： 實(shí)現(xiàn)軟件安全認(rèn)證的大部分工作量是記錄流程、驗(yàn)證和驗(yàn)證。測試自動(dòng)化顯著降低了記錄測試結(jié)果和覆蓋分析的成本。

加速第三方軟件的重用： 提高生產(chǎn)力的一個(gè)關(guān)鍵策略是軟件重用。理想情況下，可以使用已經(jīng)過認(rèn)證的組件來降低這些子單元的開發(fā)成本。項(xiàng)目需要使用 COTS（現(xiàn)成的商業(yè)）軟件以及可能的開源和其他源代碼。使用靜態(tài)和動(dòng)態(tài)分析工具自動(dòng)評(píng)估該軟件可降低使用這些組件的風(fēng)險(xiǎn)。

提高質(zhì)量、安全性和保障性： 即使是嚴(yán)格的測試方案也可能遺漏嚴(yán)重錯(cuò)誤。例如，僅代碼覆蓋率不足以確保在安全攻擊或多線程代碼情況下的正確行為。靜態(tài)分析工具可以在不運(yùn)行特定測試的情況下檢測源代碼中的錯(cuò)誤，并且可以發(fā)現(xiàn)單元或系統(tǒng)測試中難以發(fā)現(xiàn)的安全漏洞等錯(cuò)誤。動(dòng)態(tài)分析工具可以在測試期間檢測運(yùn)行代碼中可能反映在測試結(jié)果中的錯(cuò)誤（例如，緩慢的內(nèi)存泄漏）。系統(tǒng)測試期間的模糊測試和滲透測試可以發(fā)現(xiàn)在正常操作條件下遺漏的錯(cuò)誤。總體而言，最先進(jìn)的工具發(fā)現(xiàn)的額外缺陷和安全漏洞有助于降低成本、風(fēng)險(xiǎn)以及使其投入生產(chǎn)的 20% 左右的許多錯(cuò)誤。

左移有什么影響？

很明顯，必須采取一些措施來解決圖 2 中清楚顯示的問題。在生命周期的開始，引入了太多缺陷并且未被發(fā)現(xiàn)，而當(dāng)產(chǎn)品交到客戶手中時(shí)，產(chǎn)品中留下了太多缺陷。 采用新的開發(fā)方法、重用組件、利用 COTS 和開源以及工具自動(dòng)化都是提高開發(fā)效率的關(guān)鍵步驟。

【圖4 | 該圖顯示了改進(jìn)的開發(fā)過程，該過程在生命周期的早期轉(zhuǎn)移了對(duì)錯(cuò)誤和安全漏洞的檢測。］

從圖 3 中我們知道，每個(gè)開發(fā)階段的成本都會(huì)顯著增加。圖 5 顯示了修復(fù)傳統(tǒng)方法與圖 4 中所示方法的缺陷的成本比較。更早發(fā)現(xiàn)和修復(fù)錯(cuò)誤，不出所料，成本低于稍后修復(fù)它們。在此處介紹的情況下，總體成本差異約為 40%，有利于左移方法。

［圖 5. 該圖顯示了修復(fù)傳統(tǒng)方法與左移方法中的錯(cuò)誤的相對(duì)成本。即使總?cè)毕輸?shù)量相同，早期檢測也會(huì)顯著降低成本。］

認(rèn)證工具鏈和資格協(xié)助的重要性

在安全關(guān)鍵項(xiàng)目中使用自動(dòng)化工具需要對(duì)工具本身的信任。產(chǎn)品制造商有責(zé)任確信用于創(chuàng)建軟件的流程和工具符合標(biāo)準(zhǔn)要求。工具供應(yīng)商可以通過在出售給制造商之前獲得安全標(biāo)準(zhǔn)機(jī)構(gòu)認(rèn)證的工具來提供幫助，或者在無法進(jìn)行此類預(yù)認(rèn)證的情況下，提供資格援助。然后，他們可以在自己的認(rèn)證提交中使用工具供應(yīng)商的認(rèn)證證據(jù)，并減少所需的工作量。例如， Parasoft C/C++test 已通過 TüV SüD 認(rèn)證，符合 IEC 61508 和 ISO 26262 標(biāo)準(zhǔn)的安全相關(guān)軟件開發(fā)資格。

在某些軟件安全標(biāo)準(zhǔn)中，例如 DO-178B 和 DO-178C，認(rèn)證是在系統(tǒng)級(jí)別完成的，個(gè)別工具和軟件沒有獨(dú)立認(rèn)證。在這些情況下，工具供應(yīng)商會(huì)在文檔和專業(yè)服務(wù)方面提供鑒定工具包和幫助，從而大大降低鑒定用于項(xiàng)目的工具所需的成本和工作量。

審核編輯：郭婷