為C++代碼安全把關(guān)，TrustInSoft使世界變得更安全

近年來(lái)，數(shù)字經(jīng)濟(jì)正在面臨巨大的新挑戰(zhàn)，最初的英特網(wǎng)正在逐漸變成萬(wàn)物互聯(lián)網(wǎng)。數(shù)字化轉(zhuǎn)型的革命正在影響從農(nóng)業(yè)至汽車、航天等各個(gè)行業(yè)。在這萬(wàn)物互聯(lián)的時(shí)代，軟件系統(tǒng)安全被越來(lái)越重視，其必須可靠且安全地應(yīng)對(duì)由5G、大數(shù)據(jù)和邊緣計(jì)算等新技術(shù)所構(gòu)成的新環(huán)境。近期，法國(guó)軟件代碼安全科技公司TrustInSoft舉行了《安全至上：管控軟件質(zhì)量》網(wǎng)絡(luò)研討會(huì)，與開(kāi)發(fā)者分享其對(duì)于代碼安全的理解與洞察。

軟件安全或是一場(chǎng)攸關(guān)生死的挑戰(zhàn)

1996 年 6 月 4 日， 歐洲空間局首次測(cè)試發(fā)射亞利安 5 號(hào)（Ariane 5）運(yùn)載火箭，在發(fā)射后 37 秒該火箭便爆炸損毀。經(jīng)調(diào)查，事故原因是有人將64位元浮點(diǎn)跳到16位空間中，造成處理器困頓無(wú)法運(yùn)算（算子錯(cuò)誤），這是計(jì)算機(jī)編程中一個(gè)普遍存在的錯(cuò)誤。這枚火箭經(jīng)過(guò)長(zhǎng)達(dá)10年的研發(fā)過(guò)程，項(xiàng)目耗資80億美元，僅這一Bug便導(dǎo)致了3.7 億美元的損失，可謂是歷史上損失最慘重的軟件故障事件。

生命攸關(guān)系統(tǒng)（life-critical system），也稱為安全關(guān)鍵系統(tǒng)，是安全測(cè)試的重中之重。若這些系統(tǒng)失效或誤動(dòng)作，將會(huì)導(dǎo)致涉及人員重傷死亡事故、設(shè)備的嚴(yán)重毀損或高額財(cái)產(chǎn)損失、以及環(huán)境危害這三個(gè)方面的重大后果。軟件安全領(lǐng)域的測(cè)試工具應(yīng)運(yùn)而生，工具需找出軟件系統(tǒng)生態(tài)圈內(nèi)部組件和外部系統(tǒng)輸入環(huán)境的安全隱患，被賦予了輔助產(chǎn)品研發(fā)和驗(yàn)收的功用。

法國(guó)在軟件安全領(lǐng)域位于世界前列，尤其是使用數(shù)學(xué)方法來(lái)提高與保障軟件系統(tǒng)的質(zhì)量。TrustInSoft 是一家孵化于法國(guó)替代能源和原子能委員會(huì)（CEA）的代碼安全軟件發(fā)行商。核心產(chǎn)品TrustInSoft Analyzer是一款基于形式化驗(yàn)證技術(shù)的代碼安全工具，最大程度地給C/C++代碼的安全性和可靠性提供數(shù)學(xué)保障。在航空、航天、國(guó)防、汽車等對(duì)安全性要求極高的領(lǐng)域具有突出表現(xiàn)，并受到手機(jī)、電腦、游戲主機(jī)等消費(fèi)類電子產(chǎn)品領(lǐng)域的歡迎。

TrustInSoft助力共建可信賴的軟件環(huán)境

長(zhǎng)期以來(lái)，TrustInSoft一直致力于為軟件開(kāi)發(fā)社區(qū)做出貢獻(xiàn)，支持包括汽車、電信、航空和工業(yè)物聯(lián)網(wǎng)在內(nèi)的各個(gè)行業(yè)公司，保障其軟件和組件的系統(tǒng)安全及網(wǎng)絡(luò)安全。

2016年，TrustInSoft幫助全球最大的芯片知識(shí)產(chǎn)權(quán)授權(quán)公司Arm證明了其Mbed TLS中不存在緩存溢出、內(nèi)存錯(cuò)誤等一系列安全漏洞（CWE 119-127， 369， 415， 416， 457， 476， 562， 690）。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST） 將這史無(wú)前例的成果寫入了給白宮的報(bào)告中，正式認(rèn)可了 TrustInSoft 在現(xiàn)有軟件系統(tǒng)上提供最高水平數(shù)學(xué)保障的獨(dú)特能力。

在航空領(lǐng)域，呈指數(shù)級(jí)增長(zhǎng)的代碼總數(shù)使現(xiàn)代飛機(jī)的嵌入式系統(tǒng)變得越來(lái)越復(fù)雜，航空航天系統(tǒng)需要具有最高精度的工具來(lái)避免安全問(wèn)題。TrustInSoft Analyzer利用形式化方法來(lái)驗(yàn)證代碼是否存在安全缺陷，提高代碼的安全性，使其更好地符合DO-178C 等航空航天系統(tǒng)軟件行業(yè)規(guī)范。

在汽車領(lǐng)域，TrustInSoft Analyzer被廣泛用于檢測(cè)C/C++車載系統(tǒng)軟件上的漏洞，以確保自動(dòng)駕駛汽車軟件系統(tǒng)的正常運(yùn)作及網(wǎng)絡(luò)安全。百度阿波羅（Apollo）自動(dòng)駕駛項(xiàng)目中的PncMap正是使用TrustInSoft Analyzer進(jìn)行了有數(shù)學(xué)保障的軟件代碼可靠性及安全性驗(yàn)證，保證PncMap中不存在一些指定的安全漏洞（未定義行為）。目前，TrustInSoft已獲得相關(guān)行業(yè)組織的認(rèn)可，助力其客戶更好地達(dá)成《道路車輛功能安全》（ISO 26262 ）、《道路車輛信息安全》（ISO/SAE 21434）以及聯(lián)合國(guó)世界車輛法規(guī)協(xié)調(diào)工作組（UN/WP 29）頒布的UN R155網(wǎng)絡(luò)安全法規(guī)等行業(yè)標(biāo)準(zhǔn)要求。

作為一家專注于軟件代碼安全的科技公司，TrustInSoft已成為華為、百度、Thales、Safran、Mitsubishi、Sony、Sagemcom、Arm等眾多科技巨頭企業(yè)的首選合作伙伴。在針對(duì)各大行業(yè)安全標(biāo)準(zhǔn)上面，能為客戶提供不可或缺的幫助。未來(lái)，TrustInSoft歡迎與更多合作伙伴攜手，在日益數(shù)字化及互聯(lián)互通的世界中，共同建設(shè)一個(gè)可信賴的軟件環(huán)境，使世界變得更安全。