近年來,國內(nèi)電子公司和芯片設(shè)計企業(yè)大舉進(jìn)攻汽車、醫(yī)療和工業(yè)等高可靠應(yīng)用(mission-critical)領(lǐng)域����,為自己找到了擺脫紅海的新領(lǐng)域。但是高可靠應(yīng)用多數(shù)都需要功能安全認(rèn)證�����,在許多行業(yè)在諸如汽車�����、航空電子��、醫(yī)療和工業(yè)控制等行業(yè)��,是很常見甚至是必須的工作����。這些認(rèn)證通過必要的流程和測試來填寫功能安全清單�����,一直以來都是一個非常困難的事情���,但有一些方法可以加快您的認(rèn)證��。
雖然可以對研發(fā)過程進(jìn)行大量的微調(diào)以加快您的認(rèn)證���,但一切現(xiàn)代電子信息系統(tǒng)都從軟件即代碼質(zhì)量開始���。但如何能夠確保代碼質(zhì)量呢?幸運的是�,使用一些簡單的方法,可以幾乎立即提升您的代碼質(zhì)量����,并盡可能地減少痛苦。
從標(biāo)準(zhǔn)中獲得幫助
作為一家產(chǎn)品被全球近五萬家企業(yè)/機(jī)構(gòu)采用的嵌入式開發(fā)工具提供商�,IAR的研發(fā)工程師評估在C99中,代碼規(guī)范中有大約190種模棱兩可之處���。也就是在C99中�����,有190種不同的合乎句法的C結(jié)構(gòu)��,在C語言規(guī)范中沒有明確說明�。實際上,進(jìn)入C18��,情況會變得有一點糟糕�����,在C++中���,情況會更加糟糕���,這里需要引入多繼承和虛擬繼承的概念。當(dāng)然��,編譯器必須把您的源代碼變成具體的代碼��,所以它必須對代碼的含義選擇一種解釋����,然后用它來運行�。
這在實踐中意味著,您可以得到不同的編譯器�����,它們對源代碼有不同的解釋。在一個高可靠的系統(tǒng)中���,這是一個如同噩夢般的場景�;特別是由于許多公司為了追求盡快通過功能安全認(rèn)證����,為了方便測試在多個平臺上交叉編譯他們的代碼?��?梢韵胂?��,這對您獲得認(rèn)證的時間會有多么非常糟糕的影響,因為您不得不圍繞所有這些情況進(jìn)行測試�,以證明代碼的可重復(fù)性和可靠性。
怎樣才能破解這個難題呢�����?簡短的答案是���,避免模棱兩可的情況出現(xiàn)在您的代碼中�。但如何做到這一點呢���?使用像MISRA這樣的編碼標(biāo)準(zhǔn)可以快速解決這個難題�����,因為這些標(biāo)準(zhǔn)就是為了讓您避免掉入代碼中那些常見類型的陷阱���。這些標(biāo)準(zhǔn)還倡導(dǎo)編碼要安全可靠����,以減少您代碼中的漏洞數(shù)量�。但是,怎樣才能確保我們遵循這些標(biāo)準(zhǔn)呢���?幸運的是����,功能安全標(biāo)準(zhǔn)提供了一種方法�����。
標(biāo)準(zhǔn)需要代碼分析
幾乎每一個功能安全標(biāo)準(zhǔn)都需要您對您的代碼進(jìn)行靜態(tài)分析���,并且強(qiáng)烈建議您對您的代碼進(jìn)行運時(或動態(tài))分析�����。這些標(biāo)準(zhǔn)中影響最廣的是IEC 61508���,涵蓋了一般與安全相關(guān)的系統(tǒng)。在該標(biāo)準(zhǔn)的C.4.2這一節(jié)中���,對于安全完整性等級(SIL)1以上的產(chǎn)品�,不建議使用沒有消除模棱兩可和危險行為的編碼標(biāo)準(zhǔn)的C語言�。
換句話說,如果您想為您的產(chǎn)品獲得SIL 2-4等級的認(rèn)證��,您必須使用靜態(tài)分析來讓您的代碼更加穩(wěn)固����。這是為什么呢?這些靜態(tài)分析工具可以迫使開發(fā)者實施諸如MISRA的編碼標(biāo)準(zhǔn)���。此外�,靜態(tài)和運時分析可以幫助您提高代碼質(zhì)量���,快速指出您何時的編碼行為是有風(fēng)險的���,特別是存在上述編碼標(biāo)準(zhǔn)中模棱兩可的情況�����。
然而���,當(dāng)您使用這類自動化工具時,也會對您的認(rèn)證時間線產(chǎn)生巨大影響����。許多組織使用難以配置、難用的代碼分析工具���,這些工具在構(gòu)建服務(wù)器上運行��,作為每日構(gòu)建的一部分���。這對您的幫助并不是很大,因為個體開發(fā)者并沒有得到即時的反饋�����,他們并不知道自己剛剛寫的代碼有什么問題���。此外����,有時這些工具發(fā)出的警告信息是難以理解的��,開發(fā)者們要弄清楚是什么意思�,以及怎樣修正代碼才能讓警告消失,這浪費了他們的時間���。
換句話說�����,安全性認(rèn)證不是要突出項目的優(yōu)點(高性能)����,而是要盡量找出項目的弱點(漏洞)��,所以要盡可能地選用被最大量開發(fā)人員群體驗證過的開發(fā)工具�,或者是“見多識廣”的開發(fā)工具系統(tǒng)。全球有超過15萬開發(fā)人員在使用IAR提供的IAR Embedded Workbench開發(fā)工具來完成其各種嵌入式項目���,通過與其中許多“高手”開發(fā)人員溝通發(fā)現(xiàn):如果您能在開發(fā)過程中進(jìn)行代碼分析--在正式構(gòu)建之前--那么漏洞就像是從來沒有過一樣����。您項目的漏洞會比較低,這正是認(rèn)證機(jī)構(gòu)想要的����,因為這意味著您有一個非常成熟的開發(fā)組織。
讓代碼分析成為日常工作流程的一部分
IAR的工程師們見過許多來自各行各業(yè)的公司��,我們注意到的是����,配置起來越容易使用的代碼分析工具越簡單,開發(fā)人員就更有可能使用它們����,這樣能夠幫助開發(fā)人員更快完成項目實現(xiàn)產(chǎn)品上市。讓這些自動化工具成為開發(fā)者工具箱的一部分��,意味著您可以在編寫應(yīng)用程序時檢查和改進(jìn)代碼質(zhì)量��,同時可以在“區(qū)域”內(nèi)了解這部分代碼要做什么以及它如何與系統(tǒng)中的其他模塊進(jìn)行交互�。為了有效地做到這一點,這些工具必須被整合到日常工作流程中����。
在瀏覽其他人對整合代碼分析的看法時��,IAR的工程師發(fā)現(xiàn)谷歌在ACM出版物上發(fā)表了一篇文章��,探討了代碼分析的優(yōu)點。雖然文章對他們的整個代碼庫���,包括C����、C++和Java進(jìn)行了全面的考察���,但他們的結(jié)果非常明確:
“在開發(fā)過程的早期就能發(fā)現(xiàn)編譯器錯誤���,并且能夠整合到開發(fā)人員的工作流程中。我們發(fā)現(xiàn)擴(kuò)大編譯器的檢查集對提高Google的代碼質(zhì)量是有效的���?��!?/p>
作者說,將靜態(tài)分析檢查整合到編譯器工作流程中��,并使其作為錯誤出現(xiàn),極大地提高了對工具調(diào)查結(jié)果的關(guān)注度����,這意味著他們的代碼質(zhì)量最后會很高。再往下看��,他們談到了一項調(diào)查�����,這項調(diào)查面向最近遇到編譯器錯誤以及已經(jīng)收到修復(fù)同一問題補(bǔ)丁的開發(fā)者:
“谷歌開發(fā)者認(rèn)為�,在編譯時標(biāo)記的問題(與已提交的代碼補(bǔ)丁不同)能捕捉到更嚴(yán)重的漏洞;例如�����,編譯過程中標(biāo)記的問題里面有74%被調(diào)查參與者認(rèn)為是‘真正的問題’��,相比之下���,在已提交的代碼中發(fā)現(xiàn)的問題只有21%���。”
文章還談到了將代碼分析作為工作流程一部分的重要性�����,指出當(dāng)他們通過靜態(tài)分析工具自動運行提交的代碼并邀請工程師查看分析儀表板時,很少有工程師跟進(jìn)到底��。在編譯過程中的即時反饋讓靜態(tài)分析使用起來更簡單���,也更難被忽視���。因此����,他們選擇在每個人的工作流程中默認(rèn)加入靜態(tài)分析。谷歌團(tuán)隊認(rèn)為����,代碼分析工具要想取得成功,一定要讓開發(fā)人員感覺到他們用了這些工具�����,并從中受益���,并且很享受用這些工具�����。
但是�,在工作流程中加入代碼分析,您期望看到什么樣的結(jié)果呢��?有一件事情是可以期望實現(xiàn)的�,那就是提高應(yīng)用程序的整體安全性,因為高質(zhì)量代碼可以消除漏洞去利用諸如緩沖區(qū)溢出和非法指針等機(jī)會���,如該文所述���。雖然這本身就是使用代碼分析的一個很好的理由,但有時很難說服人們相信“一針不補(bǔ)����,十針難縫”這句格言,您需要更顯著的結(jié)果來說服開發(fā)者和管理層��,讓他們信服代碼分析的好處��。
Stefan Wagner等人的一篇論文使用經(jīng)驗數(shù)據(jù)來計算代碼分析工具與傳統(tǒng)測試在不同代碼庫上的優(yōu)勢���。他們的結(jié)果很有說服力:在769個被識別到的漏洞中�����,76%是被代碼分析工具發(fā)現(xiàn)�����,只有4%是在傳統(tǒng)測試中發(fā)現(xiàn)�,其余20%在代碼審查中發(fā)現(xiàn)。如果能在開始測試前就消除75%的漏洞���,那么能多快地實現(xiàn)軟件的平均故障間隔時間(MTTF)目標(biāo)��?答案是“非常快”��。僅僅是看測試節(jié)省下來的時間和金錢��,即可發(fā)現(xiàn)對代碼分析工具的投資就是值得的����,更不用說縮短產(chǎn)品上市周期省下的時間。這些都是功能安全認(rèn)證機(jī)構(gòu)喜歡看到的流程類型�,因為它極大地降低了最終產(chǎn)品仍然含有漏洞的風(fēng)險。
高質(zhì)量的代碼讓您在通往功能安全的道路上快速前進(jìn)
加快功能安全認(rèn)證之路的關(guān)鍵是提高代碼質(zhì)量���。提高代碼質(zhì)量��,可以降低您的產(chǎn)品漏洞率����,這意味著可以更快地達(dá)到軟件發(fā)布標(biāo)準(zhǔn),讓您的開發(fā)組織在功能安全認(rèn)證機(jī)構(gòu)看來非常成熟��。雖然您永遠(yuǎn)不可能確切地知道一個應(yīng)用程序中還有多少漏洞����,但盡早地多使用代碼分析工具可以減少漏洞的數(shù)量。
