Direkt zum Inhalt
Logo für GIGAOM 365x70

Sehen Sie, welche API-Testlösung im GigaOm Radar Report am besten abgeschnitten hat. Holen Sie sich Ihren kostenlosen Analystenbericht >>

So beschleunigen Sie die ISO/SAE 21434-Konformität mit automatisierten Softwaretests

Zum Abschnitt springen

    Zurück zum Lernzentrum

    Übersicht

    Die Automobilindustrie verwandelt sich rasch in ein komplexes Ökosystem für intelligente Mobilität, das neue Ebenen der Software-Ausgereiftheit und potenzielle Schwachstellen mit sich bringt. Die zunehmende Nutzung von Software und Datenaustauschfunktionen in Straßenfahrzeugen sind bemerkenswerte Wachstumstreiber im Automobilsektor. Berichte zeigen jedoch, dass neue Angriffsvektoren, die zu großen Störungen führen können, die Branche in die Knie zwingen könnten, wenn keine geeigneten Abhilfemaßnahmen ergriffen werden. Cyberangriffe auf Fahrzeuge können die Sicherheit, Privatsphäre und Leistung der Fahrer, Passagiere und anderer Verkehrsteilnehmer gefährden.

    Eine der wichtigsten Initiativen zur Bewältigung dieses Bedarfs ist die Entwicklung von ISO/SAE 21434, ein internationaler Standard für Cybersicherheitstechnik in Straßenfahrzeugen. Der Hauptzweck von ISO/SAE 21434 besteht darin, sicherzustellen, dass Fahrzeughersteller von Anfang an bis zur Außerbetriebnahme von Straßenfahrzeugen Cybersicherheitsmaßnahmen einbeziehen.

    Die Konformitätsanforderungen von ISO/SAE 21434 umfassen die Implementierung eines Cybersicherheitsmanagementsystems, das alle Phasen des Produktentwicklungszyklus abdeckt. Zu den Anforderungen gehört auch, dass Softwaresysteme, die Straßenfahrzeuge antreiben, strengen Tests, Risikobewertungen, Überwachung und Überprüfung usw. unterzogen werden müssen.

    Lassen Sie uns einen Blick auf die allgemeinen Herausforderungen und Lösungen bei der Implementierung von ISO/SAE 21434 werfen und erfahren, wie automatisierte Testlösungen den Compliance-Prozess unterstützen und vereinfachen können.

    ISO/SAE 21434: Das Framework verstehen

    ISO/SAE 21434 ist ein Standard für Cybersicherheitstechnik in Straßenfahrzeugen, der im September 2021 veröffentlicht wurde. Der Standard wurde von der Internationalen Organisation für Normung (ISO) in Zusammenarbeit mit Experten aus der Automobilindustrie, der Wissenschaft und Regierungsbehörden entwickelt. Er basiert auf den besten Praktiken und Erfahrungen aus verschiedenen Bereichen wie Informationstechnologie, Luft- und Raumfahrt und Verteidigung.

    Das Hauptziel von ISO/SAE 21434 besteht darin, einen umfassenden und konsistenten Rahmen für die Verwaltung von Cybersicherheitsaktivitäten während des gesamten Lebenszyklus von Straßenfahrzeugen bereitzustellen und alle Arten von Straßenfahrzeugen wie Pkw, Lkw, Busse, Motorräder und Anhänger sowie deren Komponenten, Systeme, Software und Dienste abzudecken. Der Standard gilt auch für alle Beteiligten, die an der Entwicklung, Produktion, dem Betrieb, der Wartung und der Entsorgung von Straßenfahrzeugen beteiligt sind, wie Hersteller, Lieferanten, Dienstleister, Betreiber und Benutzer.

    Die wichtigsten Ziele der ISO/SAE 21434 sind:

    • Definieren Sie Best Practices für die Cybersicherheit in der gesamten Lieferkette der Automobilindustrie, einschließlich Design, Entwicklung, Produktion, Betrieb, Wartung und Außerbetriebnahme.
    • Etablieren Sie einen strukturierten Prozess und einen konsistenten Rahmen für die weltweite Implementierung der Cybersicherheit im Fahrzeugdesign.
    • Ergänzung ISO 26262 und UNECE WP.29.
    • Stellen Sie einen auf Bedrohungen basierenden Ansatz bereit, um Sicherheitskontrollen zu steuern.
    • Übernehmen und wenden Sie einen risikobasierten Ansatz an.
    • Bereitstellung einer Anleitung zur Entwicklung eines Cybersecurity-Managementsystems (CSMS) für Fahrzeuge.
    • Identifizieren Sie Richtlinien für die Cybersicherheit über den gesamten Lebenszyklus des Fahrzeugs hinweg, einschließlich Design und Konstruktion, Produktion, Betrieb, Wartung und Außerbetriebnahme.

    Warum ist ISO/SAE 21434 für die Automobilindustrie von entscheidender Bedeutung?

    Die Automobilindustrie sieht sich mit zunehmenden Cybersicherheitsbedrohungen konfrontiert, da Fahrzeuge immer stärker vernetzt werden. Die Hersteller haben Mühe, ausreichende Sicherheitsvorkehrungen zu treffen, wodurch moderne Fahrzeuge anfällig für Angriffe sind. So rief Fiat Chrysler beispielsweise einmal 1.4 Millionen Fahrzeuge zurück, nachdem Hacker nachgewiesen hatten, dass sie auf kritische Fahrsysteme zugreifen konnten.

    Da Autos immer mehr auf Software angewiesen sind, steigen die Risiken von Cyberangriffen und Datendiebstählen exponentiell. Ein von Fortra veröffentlichter Bericht zeigt, dass sich die Angriffsmethoden auf Straßenfahrzeuge ausgeweitet haben. Der Bericht stellt auch fest, dass Bedrohungsakteure aus der Ferne auf die Fahrzeugelektronik zugreifen können, um Sicherheitsfunktionen zu deaktivieren, Beschleunigung und Lenkung zu manipulieren und letztlich Leben zu gefährden.

    Ohne einen verbindlichen branchenweiten Standard für die Cybersicherheit von Fahrzeugen wie ISO/SAE 21434 fehlen den Automobilherstellern möglicherweise die nötigen Anreize, den Schutz als integrale Anforderung zu betrachten. Typische Kostenkalkulationen von Unternehmen führen zu unzureichenden Investitionen. Die Folgen von Cybervorfällen sind jedoch nicht nur kostspielige Rückrufaktionen, sondern auch erhebliche Markenschäden und rechtliche Haftung aufgrund der Sicherheitsauswirkungen.

    Daher ist es für Automobilunternehmen nicht mehr sicher, diese inhärenten und zunehmenden Risiken freiwillig anzugehen. Wenn Menschenleben auf dem Spiel stehen, kann nur ein umfassendes und verbindliches Cybersicherheitskonzept das Blatt wenden. Die Norm ISO/SAE 21434 legt genau die Grundlagen, die Automobilhersteller benötigen, um ihre Fahrzeuge während des gesamten Herstellungsprozesses und über ihre gesamte Lebensdauer hinweg zu sichern.

    Darüber hinaus ist die Einhaltung der ISO/SAE 21434 für Unternehmen in der Automobilbranche wichtig, da sie ihnen hilft, Folgendes zu erreichen:

    Symbol eines Vorhängeschlosses

    Verbessern Sie die Sicherheit und Vertrauenswürdigkeit von Straßenfahrzeugen und ihren Elementen und schützen Sie sie vor Cyberangriffen, die die Sicherheit, Privatsphäre und Leistung der Fahrer, Passagiere und anderer Verkehrsteilnehmer gefährden könnten.

    Symbol eines Schildes mit einem Häkchen in der Mitte

    Erfüllen Sie die regulatorischen und gesetzlichen Verpflichtungen im Zusammenhang mit der Cybersicherheit, wie etwa die Fahrzeugvorschriften der UNECE WP.29.

    Symbol einer Glühbirne

    Fördern Sie Innovation und Wettbewerbsfähigkeit im Automobilsektor, indem Sie die Entwicklung und Bereitstellung zuverlässiger Softwaresysteme erleichtern.

    Symbol eines nach unten gerichteten Pfeils

    Reduzieren Sie die Kosten und Risiken, die mit Cybersicherheitsvorfällen und -schwachstellen verbunden sind, wie etwa Rückrufaktionen, Klagen, Geldstrafen, Reputationsschäden und Kundenunzufriedenheit.

    ISO 21434 mit einem Schild und einem Computerchip im Hintergrund. Sicherheitskonzept.

    Softwarekomplexität: Eine wesentliche Hürde bei der Erfüllung der ISO/SAE 21434

    Die Implementierung von ISO/SAE 21434 ist keine leichte Aufgabe. Sie bringt eine Reihe von Herausforderungen mit sich. Zu den bekannten Problemen zählen die Vielfalt und Heterogenität von Straßenfahrzeugen und die sich ständig weiterentwickelnde Natur von Cyberbedrohungen. Ein weiterer wichtiger Faktor, der oft unter den Teppich gekehrt wird, ist die Komplexität der für den Antrieb moderner Straßenfahrzeuge erforderlichen Software.

    Laut McKinsey wächst Komplexität von Automotive-Softwareanwendungen ist für viele Organisationen ein kritisches Thema. Dies zeigt sich in ein Bericht vom National Center for Manufacturing Sciences (NCMS), das zeigte, dass moderne Fahrzeuge zwischen 1,000 und 3,000 Mikrochips und bis zu 150 elektronische Steuergeräte (ECUs) enthalten können, die von einem Softwarecode mit bis zu 150 Millionen Zeilen gesteuert werden. Dies zeigt den Grad der Komplexität moderner Fahrzeuge.

    Die Komplexität der Integration riesiger Codezeilen, komplizierter elektronischer Systeme, Algorithmen der künstlichen Intelligenz (KI) und externer Datenverbindungen in moderne Fahrzeuge bietet Angreifern unzählige Angriffspunkte, die sie ausnutzen können. Diese Bedrohungen werden immer dringlicher, da immer mehr autonome und vernetzte Fahrzeuge auf den Markt kommen.

    Die Verwaltung der Cybersicherheit dieser riesigen Systeme erfordert einen ganzheitlichen und systematischen Ansatz, der die Interaktionen, Abhängigkeiten und gegenseitigen Abhängigkeiten zwischen den verschiedenen Elementen berücksichtigt, aus denen die Software besteht, die diese Fahrzeuge antreibt.

    Um die strengen Anforderungen der ISO/SAE 21434-Protokolle in derart komplexen Systemen zu erfüllen, sind daher umfangreiche Tests der Software erforderlich, die modernen Fahrzeugen zugrunde liegt. Da die Softwarebausteine ​​von Automobilanwendungen in Millionen von Codes ausgeführt werden, müssen Automobilhersteller robuste Testverfahren implementieren, um Schwachstellen auf der gesamten Angriffsfläche zu identifizieren, kritische Fahrsysteme zu segmentieren, regelmäßige Cybersicherheitsprüfungen und -scans durchzuführen und die Fähigkeiten zur Bedrohungserkennung zu bewerten.

    Umfassende Softwaretests umfassen auch umfangreiche Penetrationstests, Codeüberprüfungen, statische und dynamische Analysen des Quellcodes, Fuzz-Tests und andere Methoden zur Validierung der Standards der Sicherheitskontrollen. Testverfahren sollten auch potenzielle Risiken durch Softwarekomponenten von Drittanbietern und vernetzte Fahrzeugdienste berücksichtigen. Nur durch diese gründlichen und proaktiven Maßnahmen können Automobilhersteller ihre Fahrzeugsoftware gegen eskalierende Cyberbedrohungen absichern, die auf sicherheitskritische Systeme und vertrauliche Fahrerdaten abzielen.

    Der Weg zur Konformität mit ISO/SAE 21434 beginnt daher mit der Beseitigung dieser in der Fahrzeugsoftware verankerten Komplexität.

    Komplexitätsreduzierung durch Softwaretests: Ein Weg zur ISO/SAE 21434-Konformität

    In ISO/SAE 21434 wird das Testen von Software als Teil des gesamten Cybersecurity-Engineering-Prozesses behandelt. Über den Blickwinkel der Cybersicherheit hinaus hilft das Testen von Software dieser Größenordnung Ingenieuren, das komplexe Labyrinth von Automobil-Softwaresystemen zu durchschauen und besser zu verstehen.

    Diese Tests basieren häufig auf der Leistungsfähigkeit von Testautomatisierungslösungen wie Parasoft C/C++test, Jtest und SOAtest. Automatisierte Softwaretestlösungen können Automobilherstellern dabei helfen, die Testkonformität gemäß ISO/SAE 21434 zu erreichen, indem sie die folgenden Funktionen und Funktionalitäten bereitstellen.

    Statische Analyse

    Bei diesem Testtyp wird der Quellcode analysiert, ohne ihn auszuführen. Dabei werden Probleme wie Codierungsfehler, Sicherheitslücken und Konformitätsabweichungen identifiziert und gemeldet, die die Qualität, Zuverlässigkeit oder Sicherheit der Software beeinträchtigen können. Statische Analyse hilft Organisationen im Automobilsektor um die Qualität und Sicherheit ihrer Software zu verbessern und die Codierungsstandards gemäß ISO/SAE 21434 wie MISRA, CERT und CWE einzuhalten.

    Unit Tests

    Unit-Tests von C- und C++-Anwendungen hilft, die Funktionalität, Leistung und Sicherheit der einzelnen Komponenten der Software zu überprüfen und zu validieren. Mit Unit-Tests können Organisationen im Automobilsektor die Korrektheit und Robustheit ihrer Software sicherstellen. Auf diese Weise sind sie auf dem besten Weg, die Testanforderungen und -kriterien von ISO/SAE 21434 zu erfüllen.

    Integrationstests

    Integrationstests können Automobilherstellern dabei helfen, die Kompatibilität und Interoperabilität ihrer Software sicherzustellen. Softwaretestlösungen können Integrationstests der Interaktionen und Schnittstellen zwischen den Einheiten oder Modulen von Softwareanwendungen durchführen und deren Funktionalität, Leistung und Sicherheit überprüfen und validieren.

    Anforderungsbasiertes Testen

    Beim anforderungsbasierten Testen werden Testfälle erstellt, indem man sich auf die Ziele und Bedingungen konzentriert, die in den Anforderungen umrissen sind, die während der Entwicklungsphasen im SDLC zerlegt oder herausgearbeitet wurden. Diese Tests zielen darauf ab, bestimmte Funktionen oder Aspekte wie Sicherheit, Zuverlässigkeit und Benutzerfreundlichkeit abzudecken. Im Grunde entwerfen Sie also Testfälle entsprechend den Anforderungen und stellen sicher, dass die Software diese in ISO/SAE 21434 festgelegten Kriterien erfüllt.

    Code-Abdeckung

    Automobilhersteller können außerdem die Codeabdeckung der Softwaretestaktivitäten messen und melden und den Prozentsatz des Quellcodes angeben, der mit einer hochwertigen Softwaretestlösung getestet oder analysiert wurde. Codeabdeckung stellt die Vollständigkeit und Ausführlichkeit von Softwaretests sicher, was eines der entscheidenden Kriterien für qualitativ hochwertige Software ist. Genauer gesagt wird Code Coverage gemäß ISO/SAE 21434 verwendet, um sicherzustellen, dass jeder Zweig und MC/DC-Pfad einer Sicherheitsanforderung oder Funktionsfähigkeit vollständig getestet wird.

    Compliance-Landschaft in der Automobilindustrie im weiteren Sinne

    ISO/SAE 21434 ist nicht die einzige Norm oder Verordnung, die die Automobilindustrie und ihre Cybersecurity-Engineering-Praktiken betrifft. Es gibt Normen und Vorschriften, die speziell auf autonomes Fahren und Sicherheit ausgerichtet sind. Andere gelten für die allgemeinen Softwareentwicklungs- und Produktionsprozesse. Das Verständnis dieser Normen ebnet auch den Weg zur Einhaltung von ISO/SAE 21434.

    Nachfolgend sind einige dieser Normen und Vorschriften sowie ihre Beziehung zur ISO/SAE 21434 aufgeführt.

    V-Modell, das die Testphasen der Sicherheits- und Schutzentwicklung für Feedback zur Codeabdeckungsanalyse vom Parasoft C/C++test zeigt.
    Feedback zur Codeabdeckungsanalyse vom Parasoft C/C++test.

    ISO 26262

    Dies ist ein internationaler Standard für die funktionale Sicherheit elektrischer und elektronischer Systeme in Straßenfahrzeugen. Der Standard definiert den Prozess, die Anforderungen und die Aktivitäten zur Gewährleistung der funktionalen Sicherheit von Straßenfahrzeugen und ihren Elementen wie Hardware, Software und Systemen während ihres gesamten Lebenszyklus vom Konzept bis zur Außerbetriebnahme.

    ISO 26262 umfasst alle Arten und Stufen der Automatisierung von Straßenfahrzeugen, einschließlich autonomem Fahren, und bietet Anleitungen und Methoden zur Durchführung von Gefahrenanalysen und Risikobewertungen, Sicherheitszielen, Sicherheitsdesign, Sicherheitsvalidierung und -prüfung sowie Sicherheitsmanagement.

    Obwohl sich ISO 26262 auf die funktionale Sicherheit von Straßenfahrzeugen und deren Elementen konzentriert, ergänzt es die ISO 21434. Daher sollten sie zusammen angewendet werden, um eine umfassende und konsistente Sicherheitstechnik für Straßenfahrzeuge und deren Elemente zu erreichen.

    ISO 21448

    Dieser Standard, bekannt als „Safety of the Intended Functionality“ (SOTIF), beschreibt Maßnahmen zur Gewährleistung der Sicherheit der beabsichtigten Funktionalität von Straßenfahrzeugen. Er ist besonders relevant für Systeme, die ein hohes Maß an Situationsbewusstsein für die Sicherheit erfordern, wie etwa Notfallinterventionssysteme und Fahrautomatisierungssysteme der Stufen 1 bis 5. ISO 21448 und ISO/SAE 21434 sind beides Automobilstandards, die jeweils einen einzigartigen Aspekt der Fahrzeugsicherheit und der allgemeinen Sicherheit behandeln.

    UNECE WP.29

    Das UNECE-Weltforum zur Harmonisierung der Fahrzeugvorschriften (WP.29) setzt globale Standards für Fahrzeugsicherheit und Umweltauswirkungen. Es ergänzt ISO/SAE 21434, indem es von den Herstellern den Nachweis eines geeigneten Cybersicherheitsmanagementsystems (CSMS) gemäß der Norm ISO/SAE 21434 verlangt.

    Alle vier Normen und Vorschriften ergänzen sich gegenseitig, sind kompatibel und sollten gemeinsam angewendet werden, um eine umfassende und einheitliche Sicherheitstechnik für Straßenfahrzeuge und ihre Komponenten zu erreichen.

    Verwandte Kodierungsstandards für ISO/SAE 21434

    Zusätzlich zu den oben genannten gesetzlichen Anforderungen ist es für Unternehmen von entscheidender Bedeutung, bestimmte für den Automobilsektor relevante Codierungsstandards zu verstehen. Diese Programmierkonventionen bieten einen Leitfaden zur Gewährleistung der Qualität, Zuverlässigkeit und Sicherheit von Software, unabhängig von Domäne, Anwendung oder Technologie. Einige dieser Codierungsstandards umfassen:

    Symbol mit Binärcode und Vorhängeschloss

    CERT

    CERT bietet Richtlinien für sicheres Codieren für Sprachen wie C, C++, Java und Python. Es bietet Empfehlungen, bewährte Methoden, Tools und Ressourcen zur Verbesserung der sicheren Codierung von Software.

    Symbol mit einem Dreieck und einem Ausrufezeichen in der Mitte

    MISRA

    MISRA bietet Codierungsstandards für die Entwicklung von zuverlässigem und sicherem C- und C++-Code in Automobilsystemen. Seit über zwei Jahrzehnten wird es von der Community für eingebettete Systeme weithin angenommen und ist zu einer der dominierenden internationalen Codierungsrichtlinien geworden. Genau wie die oben genannten Codierungsstandards ist MISRA C/C++ relevant für die Erfüllung von Standards wie ISO 26262, ISO/SAE 21434 und ISO 21448, da es sichere Codierung in Systemanforderungen fördert.

    Symbol eines Autos

    AUTOSAR C ++ 14

    AUTOSAR C ++ 14 bezieht sich auf den vom AUTOSAR-Konsortium definierten Programmiersprachenstandard C++14. AUTOSAR C++14 unterstützt verschiedene Branchen, nicht nur den Automobilsektor, bei der Entwicklung hochwertiger, skalierbarer und interoperabler Software und trägt so letztendlich zu sichereren, effizienteren und technologisch fortschrittlicheren Anwendungen bei.

    Symbol, das eine Luftaufnahme einer Wespe zeigt

    OWASP

    OWASP ist ein Sicherheitsframework, das Anleitungen, Tools und Ressourcen zur Verbesserung der Sicherheit von Webanwendungen und APIs bietet. Seine Empfehlungen helfen Entwicklern, sicheren Code zu erstellen und auf Schwachstellen wie Injektionsangriffe und fehlerhafte Authentifizierung zu testen.

    Wie Unternehmen dieses breitere Compliance-Spektrum vereinfachen können

    Obwohl die oben diskutierten Standards für den Aufbau cyberresistenter Automobilsoftwaresysteme von entscheidender Bedeutung sind, können wir nicht leugnen, dass es viel Aufwand erfordert, sie zu erfüllen. Im Laufe der Jahre haben Softwaretestunternehmen wie Parasoft den Prozess der Einhaltung dieses Compliance-Spektrums vereinfacht, indem sie diese in ihre Softwaretestlösung integriert haben. Im Folgenden sind einige der Möglichkeiten aufgeführt.

    Automation

    Parasofts Softwaretestlösungen Softwaretests automatisieren Arbeitsabläufe und Aufgaben wie die folgenden, um den manuellen Aufwand und die Eingriffe zu reduzieren, die für Softwaretests erforderlich sind.

    • Code-Analyse
    • Testfallgenerierung
    • Testausführung
    • Analyse der Testergebnisse
    • Berichterstellung

    Durch Automatisierung können Unternehmen im Automobilsektor die Effizienz und Effektivität ihrer Softwaretests verbessern und so Zeit, Geld und Ressourcen sparen.

    OPTIMIERUNG

    Dies ist ein weiterer wichtiger Bestandteil des Automobil-Softwaretests. Automobil-Softwaretesttools sind mit fortschrittlichen Techniken und Algorithmen ausgestattet, wie zum Beispiel KI, maschinelles Lernen (ML)und Heuristiken, um die relevantesten und wichtigsten Softwaretests zu priorisieren, auszuwählen und auszuführen und die genauesten und umsetzbarsten Softwaretestergebnisse und Rückmeldungen bereitzustellen. Mit dieser Funktion können Softwareentwickler die Qualität und Genauigkeit ihrer Softwaretests verbessern sowie die Kosten, den Aufwand und die Dauer von Softwaretests reduzieren.

    Integration

    Einige Softwaretestlösungen, die auf die Einhaltung von Codierungsstandards ausgerichtet sind, lassen sich in vorhandene Tools und Umgebungen für die Softwareentwicklung und -produktion integrieren, darunter:

    • IDEs
    • Compiler
    • Debugger
    • Versionskontrollsysteme
    • Systeme bauen
    • Bereitstellungssysteme

    Sie bieten außerdem nahtlose und konsistente Softwaretestfunktionen und -funktionen für die verschiedenen Elemente und Beteiligten an der Softwareentwicklung. Diese Integration hilft Unternehmen im Automobilsektor, die Konsistenz und Kohärenz ihrer Softwaretests zu verbessern und ihre Softwaretests an ihren Softwareentwicklungs- und Produktionsworkflow anzupassen.

    Zusammenarbeit

    Zusammenarbeit ist eines der Markenzeichen moderner Softwareentwicklung. Qualitativ hochwertige Softwaretestlösungen erleichtern die Zusammenarbeit und Kommunikation zwischen den verschiedenen Elementen und Beteiligten an der Softwareentwicklung. Zusammenarbeit sorgt für Transparenz und Verantwortlichkeit beim Softwaretesten und gewährleistet die Ausrichtung und Integration des Softwaretests mit den Softwareanforderungen und -erwartungen. Viele Organisationen haben Agile-Methoden übernommen, um die Zusammenarbeit bereitzustellen und zu automatisieren.

    Best Practices zur Erfüllung der Verifizierungsanforderungen von ISA/IEC 62443

    Bei der Einhaltung der ISO/SAE 21434 geht es nicht nur darum, die in der Norm festgelegten Anforderungen und Aktivitäten zu erfüllen, sondern auch darum, die besten Praktiken zu übernehmen und anzuwenden, die unterstützen und verbessern können Cybersicherheit für die Automobilindustrie.

    Nachfolgend finden Sie einige der Best Practices zur Einhaltung von ISO/SAE 21434 und wie diese Unternehmen dabei helfen können, die Qualität, Zuverlässigkeit und Sicherheit ihrer Software und anderer eingebetteter Systeme zu verbessern.

    Kontinuierliche Codeüberprüfung

    Bei der Codeüberprüfung wird der Quellcode einer Software untersucht und bewertet und es werden Feedback und Verbesserungsvorschläge abgegeben. Mithilfe der Codeüberprüfung können Softwareentwickler alle Probleme erkennen und beheben, die die Qualität, Zuverlässigkeit oder Sicherheit ihrer Software beeinträchtigen können. Dazu gehören:

    • Codierungsfehler
    • Stilverstöße
    • Sicherheitslücken
    • Compliance-Abweichungen

    Codeüberprüfungen können anspruchsvoll und zeitaufwändig sein, insbesondere wenn die Software komplex, groß oder häufig aktualisiert ist, wie dies in der Automobilindustrie der Fall ist. Daher sollten Unternehmen eine Kultur der kontinuierlichen Codeüberprüfung entwickeln, d. h. die Praxis, Codeüberprüfungen während des gesamten Softwareentwicklungszyklus (SDLC) regelmäßig und konsistent durchzuführen.

    Legen Sie von Anfang an Kodierungsstandards fest

    Eine der besten Methoden zur Einhaltung von ISO/SAE 21434 besteht darin, von Anfang an Codierungsstandards wie CERT und/oder MISRA festzulegen. Unternehmen können automatisierte Softwaretestlösungen wie Parasoft C/C++test nutzen, um die Definition und Aufgaben von Codierungsstandards wie die Auswahl, Anpassung und Dokumentation von Codierungsstandards zu unterstützen und zu vereinfachen und den manuellen Aufwand zu reduzieren, was zu Kosteneinsparungen führt.

    Befolgen Sie sichere Lieferkettenpraktiken für Drittanbietersoftware

    Um die mit Drittanbietersoftware verbundenen Cybersicherheitsrisiken in der Lieferkette zu mindern, sollten Automobilunternehmen für ihre Lieferanten strenge Anforderungen an die sichere Entwicklung und Bereitstellung von Code sowie an die Validierung der Integrität einführen.

    Lieferanten sollten Code sicher entwickeln und dabei Best Practices wie Bedrohungsmodellierung, statische Analyse und sichere Sprachen verwenden, um Schwachstellen zu minimieren, und die Software anschließend digital freigeben. Um Vertriebskanäle vor Manipulationen zu schützen, sollten robuste Verschlüsselungs- und Zugriffskontrollen angewendet werden.

    Nach Erhalt müssen OEMs Signaturen authentifizieren, Prüfsummen ausführen, um die Richtigkeit zu bestätigen, und vor der Integration nach Fehlern oder Malware suchen. Es ist auch wichtig, dass Anbieter durch Audits und Berichte zur kontinuierlichen Überwachung Transparenz über ihre Sicherheitskontrollen und -prozesse wahren. Darüber hinaus müssen sie alle identifizierten Schwachstellen gemäß den Offenlegungsrichtlinien der OEMs umgehend beheben.

    Durchführen kontinuierlicher Tests

    Kontinuierliche Prüfung ist eine weitere bewährte Methode zur Einhaltung von ISO/SAE 21434. Dabei handelt es sich um die Praxis, während des gesamten SDLC regelmäßig und konsistent Tests durchzuführen.

    Kontinuierliches Testen erleichtert das Erkennen und Beheben von Mängeln, Fehlern oder Schwachstellen in der Software so schnell wie möglich. Es hilft auch, die Anhäufung und Verbreitung von Mängeln, Fehlern oder Schwachstellen zu vermeiden, deren Behebung später schwieriger und kostspieliger werden könnte. Durch zeitgerechtes Testen können Unternehmen im Automobilsektor die Effizienz und Effektivität ihrer Softwareentwicklungs- und -produktionsprozesse verbessern und den Zeit-, Arbeits- und Ressourcenaufwand für Softwaretests und -behebung reduzieren.

    Fordern Sie von Lieferanten die Dokumentation ihrer eigenen Cybersicherheitsrichtlinien

    Automobilunternehmen sollten von ihren Zulieferern eine detaillierte Dokumentation ihrer internen Cybersicherheitsrichtlinien, -programme und -praktiken verlangen. Diese Dokumentation sollte gründlich überprüft werden, um sicherzustellen, dass sie mit der Sicherheitscheckliste des OEM übereinstimmt. Etwaige Lücken oder Abweichungen sollten behoben werden.

    Verwenden Sie die TARA-Strategie

    Die Bedrohungsanalyse und Risikobewertung (TARA) ist ein weiterer wichtiger Bestandteil der Erfüllung des ISO/SAE 21434-Standards für Cybersicherheit im Automobilbereich. TARA bietet eine systematische Möglichkeit zur Identifizierung, Analyse und Bewertung von Cybersicherheitsrisiken für Fahrzeuge und Automobilsysteme.

    1. Definieren Sie Sicherheitsanforderungen
    2. Gegenmaßnahmen ergreifen
    3. Kontinuierlich testen und überwachen
    4. Entwerfen Sie einen Reaktionsplan

    Umsetzung der TARA-Strategie liefert wichtige Beiträge zu den in ISO/SAE 21434 beschriebenen Aktivitäten zur Cybersicherheit im Automobilbereich, wie beispielsweise:

    • Definieren Sie Sicherheitsanforderungen
    • Gegenmaßnahmen ergreifen
    • Kontinuierlich testen und überwachen
    • Entwerfen Sie einen Reaktionsplan

    Automatisiertes Testen auf ISO/SAE 21434-Konformität

    Parasoft C / C ++ test bietet automatisierte Softwaretestlösungen, die Unternehmen dabei helfen, die ISO/SAE 21434-Konformität zu erreichen.

    Umfassende Unterstützung von Automotive-Standards wie MISRA, CERT und AUTOSAR C++14. Der gepackte Regelsatz von Prüfprogrammen für Automotive- und Sicherheitscodierungsstandards sowie spezielle Compliance-Berichte helfen Automobilunternehmen dabei, die erforderlichen Sicherheitsstufen in ihren Systemen zu erreichen.

    Maßgeschneiderte Compliance-Berichte und erweiterte Analysen mit Parasoft DTP, das Daten zur Softwarequalität zentralisiert, verarbeitet und präsentiert. Es stellt Ergebnisse aus verschiedenen Testmethoden zusammen und ermöglicht so eine kontinuierliche Überwachung der Testergebnisse. DTP bietet ein konsolidiertes Dashboard zur Anzeige von Ergebnissen aus statischer Analyse, Unit-Tests, manuellen Tests, Codeabdeckung, Anforderungsrückverfolgbarkeit und mehr. Es enthält außerdem gebrauchsfertige Analyse-Widgets zum Verständnis von Risiken und zur Steigerung der Produktivität. Um Compliance-Anforderungen zu erfüllen, automatisiert DTP die Erfassung von Qualitätsdaten über alle Testmethoden hinweg.

    Screenshot von Parasoft DTP
    Grafik von Parasoft

    Kontinuierliches Softwaretesten um Zeit, Aufwand und Kosten für die Bereitstellung sicherer, zuverlässiger und konformer Software zu reduzieren. Die automatisierten Softwaretestfunktionen von C/C++test sind für die modernen Agile DevOps-Umgebungen von heute konzipiert und lassen sich in die IDE, CI/CD-Pipeline und containerisierten Bereitstellungen des Entwicklers integrieren, um Defekte früher im SDLC zu erkennen und automatisch die Einhaltung von Industriestandards durchzusetzen.

    Automatisierte Überprüfung interner Kodierungsstandards mit dem speziellen Regeleditor von Parasoft. Teams können benutzerdefinierte Prüfer erstellen, um integrierte Regeln zu erweitern oder anzupassen. Dies ersetzt den manuellen Prozess der Konformitätsüberprüfung und automatisiert die Überprüfung interner Codierungsstandards.

    Screenshot beim Aufrufen des C/C++test RuleWizard
    Screenshot von Parasoft

    KI und ML für eine bessere Codeanalyse und Organisationen zu unterstützen bei Einführung statischer Analyselösungen erfolgreich. Ein häufiges Hindernis, auf das Teams stoßen, ist die Verwaltung einer großen Anzahl von Warnungen und der Umgang mit vermeintlichen Fehlalarmen. Unabhängig von den Compliance-Anforderungen – MISRA, CWE, OWASP und mehr – markiert und priorisiert die automatisierte statische Analyselösung von Parasoft die Regelverstöße, die das Team zuerst beheben muss.

    Die KI- und ML-gestützte Lösung überprüft neue Ergebnisse der statischen Analyse im Kontext sowohl historischer Interaktionen mit der Codebasis als auch früherer Ergebnisse der statischen Analyse, um die Relevanz vorherzusagen und die neuen Ergebnisse zu priorisieren. Eine Hotspot-Erkennungs-Engine arbeitet mit einem fortschrittlichen KI-basierten Modell, um Verstöße Entwicklern zuzuweisen, die ihren besten Fähigkeiten und Erfahrungen entsprechen – und lernt dabei aus Verstößen, die sie in der Vergangenheit behoben haben.

    Automatisierte Unit-Test-Erstellung ermöglicht die Generierung von Unit-Tests, die für projektweite und dateispezifische Tests anwendbar sind. Das Verfahren umfasst die Einrichtung einer Testinfrastruktur und die Erstellung von Test-Suites. Unit-Tests helfen dabei, die Sicherheit und Zuverlässigkeit von Code zu gewährleisten, indem sie kleine Abschnitte davon unabhängig testen. Zu diesem Zweck verwenden Entwickler und Tester eine Technik namens „Stubbing“, bei der sie bestimmte Teile des Codes isolieren, die als Einheit oder Funktion bezeichnet werden. Diese Stubs ahmen das Verhalten anderer Teile des Codes nach oder dienen als temporärer Ersatz für Abschnitte, die noch nicht entwickelt wurden.

    Screenshot der Codeabdeckung und des Fortschritts-Dashboards für den C/C++-Test

    Zusammenfassung

    Die Automobilindustrie muss die Cybersicherheit von Straßenfahrzeugen gewährleisten, da diese immer abhängiger von Software und anfälliger für Cyberangriffe werden. Cybersicherheit wirkt sich auf die Sicherheit, Privatsphäre und Leistung von Fahrern, Passagieren und anderen Verkehrsteilnehmern sowie auf die Innovation, Wettbewerbsfähigkeit und Compliance des Automobilsektors aus.

    Die Einhaltung der in ISO/SAE 21434 festgelegten Standards ist eine Möglichkeit, die Software von Straßenfahrzeugen vor Cyberangriffen zu schützen. Neben der Einhaltung von ISO/SAE 21434 müssen Unternehmen darauf achten, verwandte Standards wie ISO 26262, ISO 21448, UNECE WP.29, CERT, MISRA und OWASP zu erfüllen.

    Die Einhaltung von ISO/SAE 21434 und diesen anderen Standards bringt Herausforderungen mit sich, die von Komplexität, Vielfalt und Dynamik bis hin zu den Ressourcen reichen, die bei der Kopplung von Automobil-Softwaresystemen verwendet werden. Die Automobilindustrie kann diese Herausforderungen bewältigen, indem sie bewährte Codierungspraktiken anwendet und Softwaretests mit Lösungen wie Parasoft C/C++test automatisiert, um die folgenden Vorteile zu erzielen:

    • Unterstützen und vereinfachen Sie die für Automobil-Softwaresysteme erforderlichen Softwaretestprozesse.
    • Erfüllen Sie die regulatorischen und gesetzlichen Verpflichtungen im Zusammenhang mit der Cybersicherheit.
    • Reduzieren Sie die Kosten und Risiken, die mit Cybersicherheitsvorfällen und -schwachstellen verbunden sind.

    „MISRA“, „MISRA C“ und das Dreieckslogo sind eingetragene Marken von The MISRA Consortium Limited. ©The MISRA Consortium Limited, 2021. Alle Rechte vorbehalten.

    Rechteckiges Bannerbild mit überwiegend dunkelblauer Farbe und abgewinkelter Ecke in Standardblau. In der oberen rechten Ecke befindet sich eine Collage aus Parasoft-Produktsymbolen für DTP, C/C++test, CTP, Jtest, Selenic, Insure++, C/C++test CT, dotTEST, Virtualize und SOAtest.

    Verbessern Sie Ihre Softwaretests mit Parasoft-Lösungen.

    Demo anfordern