卡耐基梅隆大學(xué)的軟件工程機(jī)構(gòu)，做了一項(xiàng)研究，完成一個(gè)功能點(diǎn)的成熟代碼，平均有0.75個(gè)漏洞，或者也可以用每百萬行代碼（Million Lines Of Code MLOC）約有6000個(gè)漏洞。如果優(yōu)化的較好，會(huì)有約600-1000個(gè)漏洞/MLOC。約有1%-5%的漏洞，會(huì)被認(rèn)為容易受到攻擊。

黑莓QNX工程服務(wù)VP Victor Marques在12月4日舉辦的黑莓QNX年度開發(fā)者大會(huì)上表示：現(xiàn)在高級的汽車會(huì)有1億行代碼，假設(shè)這些代碼都達(dá)到了較好的水平，那么就會(huì)有100K的漏洞，相應(yīng)的會(huì)有1000-5000個(gè)容易受到攻擊，這是一個(gè)非常大的數(shù)字。

根據(jù)CVE的報(bào)告，2017年最易受攻擊的系統(tǒng)中，Android名列第一，有1344個(gè)易受攻擊的漏洞，Linux、iPhone OS、WIN10次之，數(shù)量在數(shù)百個(gè)。而QNX的漏洞數(shù)量，則維持在個(gè)位數(shù)，多年來沒有發(fā)生太大變化。

隨著汽車技術(shù)的發(fā)展，電子化元器件增加，代碼量還會(huì)成倍數(shù)增加。無論對于OEM，還是系統(tǒng)供應(yīng)商，維護(hù)、開發(fā)系統(tǒng)的成本，與日俱增。面對的漏洞也層出不窮，幾乎可以肯定的說，代碼漏洞是無法避免的。

那么，如何高效測試系統(tǒng)的可靠性，以及檢查漏洞，就成了非常棘手的事兒。

代碼守護(hù)神Jarvis

黑莓QNX大中華區(qū)首席代表董淵文透露，為了應(yīng)對代碼漏洞，黑莓早在15年前，就在公司內(nèi)部研發(fā)了一款檢測代碼漏洞的神器——BlackBerry Jarvis。它第一次正式對外發(fā)布是在年初的美國車展上。

BlackBerry執(zhí)行主席兼首席執(zhí)行官程守宗表示，BlackBerry首先將把這套解決方案應(yīng)用于汽車制造業(yè)，因?yàn)樵撔袠I(yè)錯(cuò)綜復(fù)雜的軟件供應(yīng)鏈催生了各種引人注目、急需處理的用例，而Jarvis則能幫助汽車制造商解決這些用例。

BlackBerry還指出，Jarvis也適用于其他行業(yè)，例如：醫(yī)療衛(wèi)生、工業(yè)自動(dòng)化、航空航天和國防等領(lǐng)域，這些行業(yè)也都迫切需要這樣一款產(chǎn)品。

Jarvis是一個(gè)功能強(qiáng)大的二進(jìn)制靜態(tài)分析軟件即服務(wù)（SaaS）的工具，可以幫助汽車制造商保證他們的軟件供應(yīng)鏈。BlackBerry Jarvis以簡單，快速，可擴(kuò)展且經(jīng)濟(jì)高效的方式檢查二進(jìn)制文件，并深入洞察軟件組件的質(zhì)量和安全性。

無差別檢驗(yàn)

代碼漏洞的檢驗(yàn)挑戰(zhàn)在于，要知道哪些地方可能會(huì)成為攻擊者的目標(biāo)，源代碼和編譯后的產(chǎn)品并不是一一對應(yīng)的關(guān)系，在已經(jīng)發(fā)布的產(chǎn)品中經(jīng)常出現(xiàn)敏感性的數(shù)據(jù)和文件。還有軟件支持鏈比較復(fù)雜，常常需要來自內(nèi)部和外部的支持，因?yàn)樵创a多來自供應(yīng)商。

基于二進(jìn)制的檢驗(yàn)讓Jarvis沒有限制，可以掃描二進(jìn)制的代碼文件，無論是否有調(diào)試符號，可以掃描本地的二進(jìn)制文件和字節(jié)碼，可以發(fā)現(xiàn)配置文件中存在的秘鑰和敏感文件，系統(tǒng)可對攻擊者進(jìn)行評估，有能力檢查和遍歷每一個(gè)可被攻入的突破口，包括用戶名、WiFi認(rèn)證、命令行歷史、登陸文件等。Jarvis可攻擊現(xiàn)存的一些工具鏈，如telnet、ftp、etc，它還可以從任何數(shù)字資產(chǎn)中提取信息，包括多媒體文件。

路虎CEO Dr.Ralf Speth表示，使用了Jarvis之后，將安全性驗(yàn)證的時(shí)間從30天減少到了7分鐘。

Jarvis被黑莓視為保護(hù)信息時(shí)代下安全的鋼鐵俠，它可以無差別掃描代碼漏洞、隱患，模擬黑客攻擊，最后提交系統(tǒng)的檢測報(bào)告。報(bào)告是用戶友好的可視化界面，人們可以直觀的看到系統(tǒng)在功能、API、文件、編譯等部分的檢測結(jié)果，針對性的優(yōu)化。

賦能汽車產(chǎn)業(yè)鏈

Jarvis是可自定義的工具，可提供精確的可操作見解，檢查二進(jìn)制文件是否存在已知的安全漏洞，并促進(jìn)符合標(biāo)準(zhǔn)，允許通過添加和自定義“執(zhí)行器”來持續(xù)增強(qiáng)功能，無論供應(yīng)商或開發(fā)過程中的哪個(gè)階段，都可幫助公司在整個(gè)軟件供應(yīng)鏈中實(shí)現(xiàn)OEM定義的保證標(biāo)準(zhǔn)。

Jarvis的檢測過程無需源代碼，通過API輕松與現(xiàn)有開發(fā)工具集成。董淵文表示，這樣的檢測方式，提高了OEM、供應(yīng)商的使用意愿。因?yàn)樵谄囍悄芑蟊尘跋拢浖邪l(fā)、代碼維護(hù)都將會(huì)由專業(yè)的公司來做，很難由一家公司完成。但汽車的生命周期非常長，在使用過程中一旦發(fā)生問題，會(huì)引發(fā)嚴(yán)重問題。

但在汽車的生產(chǎn)過程中，OEM是無法檢測代碼的安全性，各個(gè)供應(yīng)商也互設(shè)圍欄，不會(huì)將各自底層代碼共享，這從本質(zhì)上造成了代碼檢測的困難。Jarvis的出現(xiàn)，可有效解決這個(gè)問題。OEM有了檢測的工具和標(biāo)準(zhǔn)，也不用供應(yīng)商提供源代碼。

Jarvis位于黑莓網(wǎng)絡(luò)安全7個(gè)關(guān)鍵節(jié)點(diǎn)中的安全支持鏈，在軟件最初為產(chǎn)品保駕護(hù)航。Jarvis目前已經(jīng)被公司單獨(dú)劃分，獨(dú)立運(yùn)營，未來會(huì)對行業(yè)持續(xù)提供支持。