摘要： GitLab SAST是GitLab和Klocwork的结合，GitLab是一种覆盖了整个DevOps生命周期的集成解决方案，Klocwork是一个静态代码分析和应用安全静态测试(SAST)工具。当将这两个工具一起使用时，可以为软件开发团队提供一个强大的GitLab SAST解决方案。这里，我们将阐 阅读全文

摘要： 圈复杂度是衡量软件质量的一个重要指标。 在这里，我们将阐释什么是圈复杂度和圈复杂度McCabe，并提供圈复杂度的示例。 本文将包含如下几个部分： 什么是圈复杂度? 如何计算圈复杂度McCabe? 两个圈复杂度的示例 什么是圈复杂度? 圈复杂度(Cyclomatic Complexity, 简称‘CY 阅读全文

摘要： C++的使用正越来越多，从联网的自动驾驶汽车到人工智能(AI)等关键的新兴行业都在采用C++这种语言。 确保C++代码的安全性仍然至关重要，特别是当C++语言用于安全相关系统的开发时。 编写安全、现代的C++将变得更加容易。这是因为两个最流行的C++编码准则——MISRA C++和AUTOSAR准则 阅读全文

摘要： SOTIF(ISO/PAS 21448)是为了解决自动(和半自动)汽车软件开发人员所面临的新安全挑战而制定的。这一点尤其重要，因为人工智能(AI)和机器学习在自动驾驶汽车的发展中发挥着关键作用。 在这里，我们将阐释什么是SOTIF以及其不同部分。 本文将包含如下几个部分： 什么是ISO 21448? 阅读全文

摘要： 不管开发人员技能多么精通，误报和漏报总是会发生，很可能是他们的代码有某种无意的错误或漏洞。为了确保尽早发现这些编码错误和漏洞，开发人员通常使用代码静态分析工具，工具会根据开发人员设置的规则检查代码。 然而，代码静态分析工具并不完美，工具有时也会出现误报和漏报。这些编码错误如果没有被捕获，可能会对代码 阅读全文

摘要： 确保和验证您的代码库符合特定的编码标准或行业规范可能是一个既困难又耗时的过程。然而，通过使用诸如Helix QAC和Klocwork之类的静态代码分析工具，您可以生成一份合规报告，以查看您的代码库是否合规。 本文将包含如下几个部分： 为什么合规报告很重要 哪些合规报告是可用的 如何在Helix QA 阅读全文

摘要： 常见漏洞和暴露(Common Vulnerability and Exposures，简称CVE)收集了已知的网络安全漏洞和暴露，以帮助您更好地保护您的嵌入式软件。 在这里，我们会阐释什么是CVE，CVE列表中包括哪些内容，以及它如何帮助确保您的软件是安全的。 本文将包含如下几个部分： 什么是CVE 阅读全文

摘要： 安全编码实践和安全编码标准至关重要，因为高达90%的软件安全问题是由编码错误引起的。 在这里，我们将阐释什么是安全编码标准，哪些是您应该执行的安全编码实践，以及如何实施安全标准。 您的安全编码标准指南 本文将包含如下几个部分： 什么是安全软件? 为什么软件安全很重要? 如何运用安全编码标准? 什么是 阅读全文

摘要： 编写好的软件很难，确保软件安全就更难了。它需要专业知识（即对常见编程缺陷和规范的认识），检查输入尺寸，管理内存分配和解除分配，处理字符串格式化，避免野指针等等，不胜枚举。通常情况下，编写安全的代码与开发人员编写“流畅”的代码、专注于正确处理业务逻辑，而不是保护所编写的每一行代码的自然愿望是相反的。 阅读全文

摘要： 如今，产品安全团队在漏洞管理程序方面面临着难以置信的挑战。嵌入式软件更为普遍，由开源软件(OSS)、商业软件和专有代码组成，而且要复杂得多。 结果是：攻击面增加，控制能力下降，风险大大增加。而且，漏洞的数量仍在增加；仅在2020年，NVD就发布了超过18000个CVE! 为了确保公司在面对不断增长的 阅读全文