物联网中安全关键软件的重要性日益增加
物联网引入了有时出乎意料的新安全风险。
当然,对安全至关重要的应用程序几十年来一直依赖于软件。例如,约翰·肯尼迪于 1961 年启动的阿波罗飞行计划就使用了机载飞行软件。但是,工业环境中连接设备的激增使软件在喷气式飞机、化工厂和核电站、建筑和公共安全警报以及自动驾驶汽车中运行核心流程成为可能。
一般而言,网络安全主题掩盖了软件质量问题。 “我认为软件世界已经意识到安全问题。我认为他们还没有意识到安全限制,”Linux 基金会战略项目高级主管、物联网世界年度领袖奖的决赛选手凯特斯图尔特说。
[ 物联网世界 是北美最大的物联网盛会,战略家、技术专家和实施者在此相互联系,将物联网、人工智能、5G 和边缘技术付诸实践,跨越垂直行业。 立即预订机票。 ]
当谈到物联网以及数字和物理世界的模糊时,可以改变从医疗设备到军事设备的设备的操作效率和功能。但创新也助长了软件开发范式的碰撞进程,正如网络安全专家布鲁斯·施奈尔 (Bruce Schneier) 在“点击这里杀死所有人:超连接世界中的安全与生存”中所写的那样。
一方面,敏捷软件开发范式优先考虑速度和适应性。另一方面是在航空航天、工业、医疗和医疗领域发现的缓慢移动的软件开发方法。 “这是一个需要严格测试或安全认证以及获得许可的工程师的世界,”Schneier 写道。
在 Linux 基金会,Stewart 的重点领域之一是 Zephyr 项目,该项目开发了一个实时操作系统优先考虑资源受限设备的安全性。
“在物联网中,人们将注意力集中在他们喜欢的东西上,”斯图尔特说。 “我专注于深度嵌入方面,安全可靠地收集数据。”后者涉及与传统上不专注于软件的安全专家合作。 “围绕安全领域现有标准的很多语言都有 20 到 30 年的历史,”她说。考虑到软件开发方法的变化和代码量的增加,与软件相关的元素通常已经过时。
一个挑战是软件更新可能如何导致意外的安全相关问题的模糊问题。在关键基础设施中工作的软件开发人员在发布软件之前会进行大量分析。 “当您对该软件进行大量安全更新时,这是否会使您的初始分析无效?您需要做什么来确保通过应用错误或安全修复不会让事情变得更糟?我们现在不一定有最好的工具来解决这个问题,”斯图尔特说。
另一个障碍是安全标准传统上的封闭性。 “现在有一系列 [安全] 标准,每个人都在关注,而从开源的角度来看,有趣的挑战是这些标准都是封闭的,”斯图尔特说。 “开源开发人员不一定要支付 3,000 美元来查看标准。”
斯图尔特说,这些挑战为安全、监管和软件专家之间进一步合作提供了理由。 “我们现在正在与 [专门从事安全工作] 和各种认证机构的人员合作,以及可能的一些法规,以了解什么是真正重要的,以及我们如何使安全软件开发对每个人都实用。”
物联网技术