1.MISRA C 2012 标准浅析
2.电子商务系统可能遭受的汽车攻击有
3.做一个汽车网站大概要多少钱
MISRA C 2012 标准浅析
MISRA(The Motor Industry Software Reliability Association)是汽车工业软件可靠性联会,成立于年英国,电商旨在帮助汽车厂商开发安全可靠的城网车电软件。其成员包括AB汽车电子、站源罗孚汽车、码汽宾利汽车、商城趣购系统源码福特汽车、网站捷豹汽车、源码路虎公司、汽车Lotus公司、电商MIRA公司、城网车电Ricardo公司、站源TRW汽车电子、码汽利兹大学和福特VISTEON汽车系统公司。商城
MISRA支持C语言标准的网站发展历程,MISRA C 目前已经修订多次,最新版本为AMD2,支持C标准。MISRA主要关注功能安全,而CERT C/C++则更多地关注安全威胁。MISRA C :AMD2共有条规则,其中条为规则,条为指令。神武源码私服指令通常无法被SAST工具检测分析。条规则中,条为强制性,条为必要规则,条为建议规则。
MISRA标准中的每一条规则都有详细的描述信息,包括类别、可判断性、支持语言标准、分析范围、规则编号和规则描述等。
标准分类:规则(Rule)和指令(Directive)的区别在于,指令是一种描述性的指导规范,无法提供执行符合性检查所需的完整描述。为了进行检查,需要提供额外的信息,如设计文件或需求说明。指令部分主要分为实现、编译与构建、要求追踪、代码设计四个部分,共条规范。置顶源码下载规则则可以对相关要求提供完整的描述,评测人员或静态分析工具可以在不需要额外信息的情况下检查源代码是否符合对应规则。
指令:仅依靠源代码分析,无法对指令进行合规性判定,通常需要开发人员提供更多信息,如设计文档和要求说明。静态代码分析工具可以判断代码符合指令,但对于代码不符合指令的情况,代码分析工具给出的结果可能不一致。
规则:仅依靠源代码分析,就可以对规则进行判断,不需要开发人员提供更多信息,所有的静态代码检测工具都应具有对规则进行合规性判定的能力。
Category类别:Mandatory guidelines强制性的,版增加的,声明符合Misra的C代码应遵守所有强制性准则,不允许偏差。Required guidelines必须的,公司或项目可以选择将任何必须的准则视为强制性准则,不符合需要正式的偏差许可。Advisory guidelines建议的,建议性的vb翻译源码,不符合应被记录,但是无需正式的偏差许可。
Decidability可判断性和Undecidable不可判定性:Decidable可判断的,总是能够在任何程序中使用工具确定代码是否合规,否则就是不可判定的。例如,规则.3取决于源指针和目标指针的类型是可判定的,而规则.2取决于移位运算符右侧操作数的值是不可判定的。
Analysis Scope分析范围:Single translation unit rule单一编译单元,通过隔离分析每个编译单元中的源代码,可以可靠地进行验证的代码。System rules系统级,只能通过分析整个系统中的源代码了完全检查验证。
MISRA合规对于企业的价值:MISRA是汽车行业公认的C/C++语言编码规范,符合编码规范是ISO :-6软件功能安全开发标准的内在要求之一,开发ASIL功能安全项目必须满足,客户软件过程能力审核要求,在研发生命周期早期发现软件中的缺陷,预防成本投入会大幅度降低投产后的售后维护成本。
对于C、C++语言开发,我们关注里面包括的rtos 任务源码运行时缺陷,例如缓冲区溢出、整数溢出、数组越界、内存泄露、空指针解引用等缺陷。但是对于出海的企业,例如车企其开发软件遵守MISRA标准是必要的。这些规则虽然大多数不会导致程序崩溃,但是会给这些软件运行带来潜在的出错风险,对于可能造成重大生命财产随时的软件还是应该去遵守的。下面我们列举几个例子、说明代码不安全性主要来源。
开发者编码引入的错误;开发者对C/C++语言的误解;编译器不执行开发人员所期望的操作;编译器包含错误;运行时错误。
目前,业界对于MISRA C :ADM2支持最好的SAST工具是Coverity,支持的规则最多,检测效果最好。其次是北大Cobot,检测效果还可以。
(结束)
电子商务系统可能遭受的攻击有
1、使用软件默认的安全配置。不论采用什么软件,在缺省安装的条件下都会存在一些安全问题,只有专门针对安全性进行相关的和严格的配置,才能达到一定的安全强度。千万不要以为系统缺省安装后,再配上很强的密码系统就算安全了。例子中商务网站的ftp服务软件server_u,就有一个默认的具有系统管理权限的本地用户,密码也是默认的,入侵者就是通过远程端口转发,模拟本地系统用户非法入侵ftp服务器的。
2、没有安装最新的安全补丁。网络软件的漏洞和后门,是进行网络攻击的首选目标。对于微软的操作系统和数据库软件,如果不及时打上补丁,是非常危险的。例子中的sql server 数据库软件,就是没有打上最新补丁,存在sql注入漏洞,从而被入侵者通过专门的工具软件,找出数据库中的用户表和相应的密码,如果是购物性电子商务网站的话,用户数据库被入侵,就有可能出现冒用他人账号进行网上购物。
3、使用未进行安全审查的软件代码。对于网上下载的一些共享代码和程序,大多存在严重的安全漏洞,对于电子商务网站来说,使用这样的软件代码是很危险的。比如,一般的asp共享代码,都不对sql符号和语句进行过滤,这样就有可能危及sql数据库的安全,大多的收费**网站都存在这样的漏洞。还有共享的asp代码,数据库联接基本上都是用明码放在一个文本文件上,这样,只要能看asp源代码,就有可能知道你联接数据库的用户名和密码。例子中的广告用户数据库和汽车栏目信息库,就是因为使用了明码的数据库联接文件,使入侵者非常轻松的得道了进入数据库的用户名和密码。
4、拒绝服务(DoS,Denial of Service)攻击。随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DdoS攻击对网站的威胁也越来越大。以网络瘫痪为目标的袭击效果比任何传统的黑客攻击都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使被攻击方没有实施打击的可能。前几年美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。
5、安全产品使用不当。虽然不少网站采用了一些网络安全设备,但由于安全产品使用者的设置问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,大大超出普通网管人员的技术水平,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题和漏洞。比如有些网络防火墙,反垃圾电子邮件产品如果配置不当,根本就形同虚设。
做一个汽车网站大概要多少钱
做一个简单的网站要多少费用?这一还是依据要求而定,没有肯定的价钱。不一样的网站制作规定、不一样的作用定做都是会给网站建设花费产生多多少少的危害,一般来说一般的网站只需好几千,假如领域类网站、电子商务平台类网站花费几万元到几十万是有可能的。一、网站域名+主机空间
建一个网站毫无疑问需要网站域名,那麼网站域名成本费约为每一年一百元,室内空间应用会略好或略差,好的室内空间有几千块,室内空间有几百块,室内空间也按年收费标准。
二、建网站成本费
建立网站的成本费主要是:网站建设费+网站域名费+室内空间费,因此做一个比较简单的网站,包含全部基础的事儿大概之上。
三、建网站便是网站的建设和项目成本
一般的企业网站建设公司收费标准在-元的范畴内,这不是随意收费标准,主要是看公司想干一个更比较好的网站,或是一般的网站,自然更强,收费标准更贵。各层面都比较好。