害怕。
非常害怕。
那辆车你开车吗?可能有一个错误在可能的控制软件,在任何时刻,把你介绍给那边的大平台以每小时70英里的速度。哦,那将是140英里关闭速度。哦吼!
电网提供果汁的电脑你读这篇文章吗?(或提供昨天如果你以蓄电池为动力的,明智的人吗?)不要指望它当事情变得粗糙…有人确实栽电子定时炸弹,杀死当前冰箱之前你需要冰啤酒在2:01 AM当酒类贩卖店已经关闭。
,电子玩具玩是你的孩子?你不想知道。
只是…收拾一切,发现一个小木屋在森林深处,收集每个人都和你爱的一切,摆脱网格,大伙都得的生活方式生活。
好的,这需要一些感人,但是是的,我一直在做一本小册子卸载这个丑陋的小屋我了,到目前为止,还没有人想要的。最好的方式来销售它是恐惧。恐惧是可怕的。人们会做的最愚蠢的事情如果你能说服他们,他们处于危险之中。数量的事情倾诉你所有的啤酒,这样没有人能偷走你的啤酒。
实际上,最伟大的事情你应该害怕的就是害怕本身。(哇,这是一个可怕的概念。我应该保存在一些重要场合…)
说,这是一个发人深省的认为人就像你和我——是的,继续,不寒而栗,我说“我”——写这些天几乎所有运行的软件。更糟的是,大部分的代码写在c .想到它。我知道我做的东西在编写C…并不总是漂亮。
这和我的健康和幸福取决于?
但是,光明的一面,还有人努力使我们的电子世界成为一个更安全的地方。至少,它真的很重要。(在你的电话吗?重启,没有特别的理由呢?与其说咩……你会克服它…)我们之前写过一篇关于这个世界的细枝末节,在过去的几年里,但从来没有从高天,试图衡量整个景观。
如果你认为这风景可能演变成一个不错,整洁的组织有明确的议程和明确的边界,再想想。有人可能会决定创建一个电子玩具安全标准委员会,这不会阻止别人开始一个完全不同的安全标准委员会电子小玩意。(这不是玩具:他们的放在架子上,永远不要玩,值得更多嘿别碰! ! !)或者一个玩具出售,我不知道,亚美尼亚,这会,当然,不同于标准的玩具在Azerbaijian出售。
我做这些。以防不清楚。但是你懂的。(我希望)。
让我们散步通过世界标准的努力保持直上的软件在我们的世界和狭窄的。我在这里使用“标准”这个词松散,因为并不是所有这些都是由ANSI-accredited组织正式批准。但是他们仍然尊敬的从业者,我不会挑剔。
老实说:我开始涉水到这个的时候,我发现了许多不同的组织和文档几乎令人眼花缭乱。无论多么完整列表我想我,我能找到另一个标准或组织似乎在来自他们自己的独特的角度并没有真正的合理化:a)为什么有必要采取一种不同的标准和b)之间的差异和其他标准是合理的。也许,在心灵深处的这些文件能找到这些信息,但是它需要一些搜索(有时除英语之外的其他语言…是的,我们承认这些语言存在…)。
我能够得到一些初步指导克里斯•Rommell VDC的分析师,他们帮助我一些初始订货。他们每年做一项研究,它表明增加使用标准,有一半的受访者使用一些标准的当前项目,55%希望在两年内使用。正是这意味着可以改变:编码标准,最大的一块,约36%,使用内部标准,其次是选择坚持一个正式的标准(21%),然后严格遵循(14%)。但不到20%的受访者使用没有编码标准。*
这是符合这个世界的明显的朦胧,所以这里的目的是调查的标准以及一些公司试图帮助了这一切。覆盖面无疑将是不完整的,因为它是不可能推翻每个岩石,岩石和任何可以隐藏另一个公司或组织。所以请在评论中补充或澄清。
首先,粗略地说,有四种不同的标准有四个不同的目标。
- 第一个是关于软件一般“质量”:摆脱错误无论软件的目的。这些都是编码标准。
- 第二个是编码标准更具体地针对“安全至上”应用程序,问题可能导致伤害或损失的生命(或严重的经济痛苦)。
- 第三是目标安全的编码标准,确保您的代码不容易受到电子违反。
- 第四个不同于其他的:它关注而不是编码本身,但证明你所需的过程需要考虑哪个上面的。
当然,这些之间的重叠,这整洁的列表只是我微薄的尝试一些秩序强加于瓷器。
第一类时,简单的质量,确实没有标准本身。Netrino写了一本嵌入式系统的编程实践。高度集成c++是另一个素质的推荐做法。
语言的选择可以是一个开始。如果你真的想要讲究bug,普通ANSI C可能不是你的第一选择,即使它是什么大家都知道有吨。可以改善甚至c++(如果你忽略了一个事实,那就是C c++程序是合法的)。Java和艾达,以自己的方式,试图创建模式,不太容易boneheadedness(虽然我敢你试图说服某人使用Ada如果他们没有…)。
这也是最工具可用的类别。不包括免费剥绒机和各种各样的检查,你可以买工具PRQA,Coverity,GrammaTech首先,为了铲除可能有问题的代码。
安全与安全
大多数人人都能同意,好的代码是一件好事,和“最佳实践”是军团。但通常需要的不仅仅是善意让忙碌的人在一起花费额外的时间发展更正式。保持飞机从天上坠落是激励人的东西。这导致了大量精力去捕捉一些不自律方面的编程语言使用生命和肢体岌岌可危。
你有证书C, MISRA - C,MISRA c++,JSF + + AV,他(德国汽车的子集MISRA),喷气推进实验室,异丙醇/秒C(日本)。其中,MISRA占主导地位;现在开始,汽车和其他地方使用(有时有选择地)。有火花,Ada和相关的一个子集Ravenscar概要(现在Ada 2005)的一部分;Java世界jsr - 302。
还有安全性至关重要的协议栈和OSEK一样,熟悉的AUTOSAR的基础,以及发动机ECU控制单元和石油OSEK实现语言,在体系结构上使用。
有很多公司试图解决这些标准的方法。
- PRQA LDRA等公司,Coverity可以做认证检查。
- 一些提供开发环境,帮助创建安全的代码。这些包括DDC-I和Adacore。
- 还有供应商的目标操作系统和运行时环境安全性至关重要的市场。风河系统公司,这些包括青山LynuxWorks, Atego /响应。
- 也有设计环境,开始创建安全代码的设计建模范式。Esterel和Atego的工匠是值得注意的。
- 最后,还有服务公司专门从事安全性至关重要的项目。Atego HighRely和IBM的显著例子。
为了安全,共同弱点枚举或CWE又名ISO / IEC 15408,有几个级别的依从性,似乎得到大部分的注意力。认证和服务规则。Klocwork关注安全;Coverity LDRA也执行安全分析。
这都是过程
在过程中,有很多不同的方式。从行业来看,EN 50128铁路。ISO 14971、IEC 62304和IEC 60601的医疗。IEC 61508对重型设备和能源。IEC 60880对核能。ISO 26262汽车。IEC 61508对工业自动化。尤其是ISO 26262,捡起动量方法批准,工具厂商获得跳上认证和新生的过程在汽车供应链。
还有大魔法师:- 178 b(移动到C)软件在机载设备,连同其兄弟姐妹为地面做- 278软件,影响人在空中发生了什么。例如,认为空中交通管制。
更一般的,作为通用软件生命周期的ISO 12207标准,从ISO 15504是派生的,通常称为软件过程改进和能力的决心,或香料(不与电路仿真香料混淆)。
是的,这是一个绝对02的ISO / IEC的数字。还有其他缩略语和数字,我能找到的信息。
这些都与你如何编写软件。多联系需求——甚至有一个ReqIF需求交换格式。简单地说,每一个要求都应该与特定的代码,所有代码应与要求。这个过程形式化是大生意。
公司认证流程包括LDRA Atego, MKS。
这一切似乎势不可挡,标签你看到大多数MISRA DO-178/278, ISO 26262上升。所有的人看起来更专业或本地化。
这些组织的工作做的是没有完成;标准,一旦批准,通常是过时了。这是一个正在进行的努力跟上日益改进(假设这些变化使事情更好)。坏消息是,这意味着不断要修改工具,购买升级。这变成好消息使工具和提供服务的公司。也对每个人都好,希望数量有限的人必须跟踪所有;如果他们做得很好,使人的生活更容易的工具。
所以,虽然我应该担心,这将减少整体水平的恐惧和伤害我的机会销售那个愚蠢的小屋,我应该可以只要人们保持思维的其他方面的东西可能出错。我不是很担心。
哦,我相信你不会天真到认为软件是唯一的一个系统,可能会导致问题。人们同样善于创造蹩脚的硬件。这将是未来的主题讨论。
* 2010 (VDC研究,软件和系统生命周期管理市场情报服务,第五卷:工程设计方法、流程和标准
链接到公司提到:
WindRiver(现在是英特尔的一部分)
