摘要： SOTIF(ISO/PAS 21448)是为了解决自动(和半自动)汽车软件开发人员所面临的新安全挑战而制定的。这一点尤其重要，因为人工智能(AI)和机器学习在自动驾驶汽车的发展中发挥着关键作用。 在这里，我们将阐释什么是SOTIF以及其不同部分。 本文将包含如下几个部分： 什么是ISO 21448? 阅读全文

摘要： 不管开发人员技能多么精通，误报和漏报总是会发生，很可能是他们的代码有某种无意的错误或漏洞。为了确保尽早发现这些编码错误和漏洞，开发人员通常使用代码静态分析工具，工具会根据开发人员设置的规则检查代码。 然而，代码静态分析工具并不完美，工具有时也会出现误报和漏报。这些编码错误如果没有被捕获，可能会对代码 阅读全文

摘要： 确保和验证您的代码库符合特定的编码标准或行业规范可能是一个既困难又耗时的过程。然而，通过使用诸如Helix QAC和Klocwork之类的静态代码分析工具，您可以生成一份合规报告，以查看您的代码库是否合规。 本文将包含如下几个部分： 为什么合规报告很重要 哪些合规报告是可用的 如何在Helix QA 阅读全文

摘要： 常见漏洞和暴露(Common Vulnerability and Exposures，简称CVE)收集了已知的网络安全漏洞和暴露，以帮助您更好地保护您的嵌入式软件。 在这里，我们会阐释什么是CVE，CVE列表中包括哪些内容，以及它如何帮助确保您的软件是安全的。 本文将包含如下几个部分： 什么是CVE 阅读全文

摘要： 安全编码实践和安全编码标准至关重要，因为高达90%的软件安全问题是由编码错误引起的。 在这里，我们将阐释什么是安全编码标准，哪些是您应该执行的安全编码实践，以及如何实施安全标准。 您的安全编码标准指南 本文将包含如下几个部分： 什么是安全软件? 为什么软件安全很重要? 如何运用安全编码标准? 什么是 阅读全文

摘要： 编写好的软件很难，确保软件安全就更难了。它需要专业知识（即对常见编程缺陷和规范的认识），检查输入尺寸，管理内存分配和解除分配，处理字符串格式化，避免野指针等等，不胜枚举。通常情况下，编写安全的代码与开发人员编写“流畅”的代码、专注于正确处理业务逻辑，而不是保护所编写的每一行代码的自然愿望是相反的。 阅读全文

摘要： 如今，产品安全团队在漏洞管理程序方面面临着难以置信的挑战。嵌入式软件更为普遍，由开源软件(OSS)、商业软件和专有代码组成，而且要复杂得多。 结果是：攻击面增加，控制能力下降，风险大大增加。而且，漏洞的数量仍在增加；仅在2020年，NVD就发布了超过18000个CVE! 为了确保公司在面对不断增长的 阅读全文

摘要： 在这个Docker容器使用指南中，您将学习如何创建和运行Klocwork容器。 Docker的基本定义：一种流行的开源操作系统级虚拟化(通常称为“容器化”)技术，它是轻量级的，可移植的，主要在Linux和Windows上运行。Docker让使用容器创建、部署和运行应用程序变得更容易。 从根本上说，容 阅读全文

摘要： DevOps组织不断地寻找方法来提高DevOps的生产效率，加快其上市时间。如果没有合适的集成工具，这将相当具有挑战性。 本文将包含如下几个部分： 为什么加速DevOps是一个主要挑战 Incredibuild是什么? Klocwork是什么? 为什么Incredibuild用户应该使用Klocwo 阅读全文

摘要： 在部署任何基于web的应用程序时，必须遵循安全最佳实践。这里，我们概述了设置Klocwork（一个静态代码分析和应用安全静态测试的工具（SAST））的步骤，以实现安全操作。这个过程通常是部署在本地的，并且是在防火墙之后。我们也应该采取额外的预防措施，以防在互联网上暴露任何东西。 本文将包含如下几个部 阅读全文