设计安全可靠的嵌入式系统最佳实践

　　时间限制使开发人员面临着在严格且在许多情况下不充分的时间表内完成项目要求的压力。此外，对嵌入式软件的可靠性、准确性和性能的期望高于对实时计算的期望。我们还需要考虑运行嵌入式软件的实际目标硬件的约束。软件合规性和认证要求通常由行业强加以解决安全问题。

　　流程标准提供流程、验证方法和最佳实践，以确保软件安全、安全和质量有足够的信心。这些包括：

　　DO-178B/C（航空电子设备）

　　ISO 26262（汽车）

　　IEC 62304（医疗）

　　IEC 61508（工业）

　　EN 50128（导轨）

　　和更多

　　软件验证和确认是遵守流程标准的关键组成部分。这是一个涉及不同软件测试技术的过程，这些技术可能是严格的、昂贵的和耗时的。

　　使用一种或两种软件测试技术并不能解决问题。在开发生命周期中使用各种自动化方法将为您节省时间和金钱。它还将有助于建立无价的可靠性声誉。

　　嵌入式软件开发的自动化测试方法

　　自动化对于测试嵌入式软件至关重要，因为手动方法容易出错且耗时。让我们讨论对您的团队有帮助的重要自动化测试方法。

　　静态代码分析

　　首先，我强烈建议始终将静态代码分析作为第一种测试方法。执行静态分析的一个绝妙优势是您可以在项目的任何阶段引入和使用它。即使项目不完整且部分编码，静态代码分析也是有效的，因为不需要执行代码。

　　引入静态分析的最大挑战是大量代码会产生大量警告。将静态分析集成到项目中时，建议关注以下内容：

　　尽快让团队高效工作。

　　最大限度地减少团队被所有静态分析警告淹没的机会。

　　这并不是要降低这些警告的重要性。但是，大多数开发人员没有修复现有或遗留代码的奢侈。至少不是马上。

　　因为有各种编码合规性标准（MISRA C:2012、AUTOSAR C++14、SEI CERT、CWE 等）从一个目标开始。如果安全是关键目标，那么启用所有与安全相关的规则、禁用不太重要的规则并启用一种内置的安全编码标准（如 CERT C/C++）是有意义的。

　　动态分析方法或运行时错误检测

　　如前所述，一种测试方法是不够的。仅通过静态分析无法识别所有错误或缺陷。动态分析方法或运行时错误检测也是一种可以采用的测试实践。

　　该测试应与需求相关联。它检查正在运行的代码，暴露架构和行为缺陷、其他弱点和/或安全漏洞，包括内存泄漏等。

　　团队可以在不同级别的软件抽象上应用这种类型的测试。从测试每个单独的单元或功能开始，然后集成其他软件部分。最终软件测试系统作为一个整体或黑盒。这通常体现在著名的 V 模型软件生命周期中。

　　结构代码覆盖率

　　在动态分析方法中，可以应用其他技术，如结构代码覆盖。

　　简而言之，结构覆盖是为了确定系统是否经过充分测试而执行和记录的代码的标识。如果您可以确定已通过测试用例执行的代码，那么未发现或未执行的代码将暴露出对额外测试的需求。

　　如果您的合规性要求是获得 100% 的代码覆盖率，那么您至少需要通过单元测试和手动测试来执行覆盖率。虽然我们可以继续揭示其他测试方法，如回归、性能、压力、API、UI、接受度等，但让我们深入研究嵌入式系统测试的现代部署。

　　持续集成和持续交付

　　在过去几年中越来越受欢迎的一个主题是持续集成和持续交付 （CI/CD）。CI/CD 是夜间集成的软件开发实践（将较小的构建单元组合到应用程序、库或组件中），旨在构建可测试的软件以实现持续交付和早期检测构建/集成问题和错误。

　　嵌入式软件开发中的 CI/CD 通常受到应用程序开发不受限制的方式。除了目标硬件平台的物理和计算约束之外，还有合规性约束。嵌入式软件市场对具有极长生命周期的安全性有独特的要求。产品可以在市场上保留数十年。

　　如今，一些组织将静态分析纳入其 CI/CD 现代开发工作流程中。适应通常围绕基于 Git 的开发环境，采用动态方法进行分支和合并，开发人员可以指定父/引用分支与他们当前的开发分支进行比较，并自动比较和计算增量以进行分析。

　　因此，与其在整个项目上运行分析，这可能需要相当长的时间，甚至几个小时，它可以在最小的文件集上运行。这减少了评估会议的持续时间和重点。然后可以解决和纠正编码违规，以实现干净、安全和可靠的构建。

　　容器化开发环境

　　另一种类型的现代化来自容器化开发环境。开发工具的容器化部署正在成为嵌入式开发团队的生计。

　　尽管容器最初是为了解决微服务和基于 Web 的应用程序的部署问题而开发的，但它们最近在嵌入式团队中流行起来。尤其是对于使用容器来管理复杂工具链的大型团队。

　　在管理复杂的开发环境时，尤其是在安全关键领域，团队通常会遇到以下挑战，这些挑战很容易通过容器解决：

　　将整个团队的升级同步到编译器、构建工具链等工具的最新版本。

　　动态响应库或软件开发工具包 （SDK） 等的新安全补丁。

　　确保所有团队成员和自动化基础设施 （CI/CD） 的工具链的一致性。

　　能够对开发环境进行版本化并恢复它以服务于通过特定工具链认证的旧版本产品。

　　入职和设置新的开发人员。

　　在下面的示例中，您让Parasoft C/C++test访问容器化编译器 （GNU GCC） 和运行时环境。有两个独立的 Docker 容器，一个用于编译器和构建工具，另一个用于执行环境（例如，嵌入式 Linux 的剥离版本）。

　　在这个例子中，Parasoft C/C++test 标准可以用作基于命令行的工具，适用于容器内部署。它可以与编译器和构建系统一起打包成一个容器镜像，用于 CI/CD 并部署到开发人员的桌面上进行本地命令行扫描。下图显示了此设置的高级概述。

　　以下示例可以通过自动化完成，或者每个团队成员都可以拉出一致的开发环境，其中容器化提供以下功能：

　　开发环境版本控制

　　集中管理和部署

　　对安全漏洞的即时反应

　　较低的入职成本

　　了解行业领导者如何提供安全可靠的软件

　　如果您想简化团队工作流程、削减成本并缩短上市时间，那么了解嵌入式安全和安全关键系统开发中的挑战、解决方案和现代方法对您来说很重要。

　　审核编辑：郭婷