試論面向安全性分析的嵌入式軟件測試方法

摘 要：安全性測試能夠發現嵌入式軟件中包含的漏洞及運行安全風險，受到了更多的關注。基于此，本文分析了嵌入式軟件安全性分析的重要性，著重闡述了軟件的交叉式測試、結構化測試、安全性測試的環境制定、軟件功能性安全測試以及漏洞性安全測試這些軟件安全性測試環節。

關鍵詞：嵌入式軟件;安全性分析;測試方法

引言：嵌入式軟件主要包含嵌入式的微小處理器及外部設備等，對其進行安全性測試是計算機軟件安全性分析的重要環節，需要相關人員重點關注。在嵌入式軟件的安全性測試中，不僅要完成軟件功能性安全需求的驗證，還要對嵌入式軟件中的漏洞展開挖掘與安全管理，確保嵌入式軟件安全測試的全面性。安全性測試能夠發現嵌入式軟件中包含的漏洞及運行安全風險，對避免安全性問題的發生有重要意義，從而受到了更多的關注。

一、嵌入式軟件安全性分析的重要性

當軟件的運行不具備引發系統事故的能力時，就能夠判定該軟件具有安全性。具體來說，作為系統的重要組成部分，具有安全性的軟件不會對人們的財產安全以及環境產生威脅。就現階段嵌入式軟件的應用與發展情況來看，其已經被廣泛應用于多個領域，包括航空航天領域、汽車服務行業等等，為人們的生產與生活提供了更為便利的手段，但是，由于其自身具有一定的復雜性，發生問題的概率相對較高，會對人們的財產甚至是生命安全都造成一定的威脅。例如，在2010年，日本豐田公司由于軟件問題而發出了相關產品的召回決策，導致該公司損失了約20億美元，不僅使公司產生了較大的經濟損失，還降低了公司的社會效益。由此能夠看出，對嵌入式軟件進行安全性分析有著極為重要的意義，需要重點關注。

二、嵌入式軟件的安全性測試

（一）測試前的準備工作

在對嵌入式軟件展開安全性測試時，需要測試前期進行一系列的準備工作。在進行安全性分析時，相關人員需要注意的是，由于C/C++類型的機器代碼普遍由處理器直接執行，所以當使用托管代碼完成程序的編寫時，需要將關注的重點放在被復用的本機代碼方面。這主要是由于本機代碼通常是在虛擬機之外完成的，有著最高的風險。

同時，要對測試中需要使用的平臺系統進行確定。例如，當對iReader嵌入式軟件進行分析時，由于其屬于多種文件格式的閱讀器，所以可以應用AnddroidShell對需要的文件完成導入，并使用FileFuzz實現安全性測試。

（二）軟件的交叉式測試

在對嵌入式軟件展開交叉式測試時，首先需要相關人員在宿主機的環境下完成測試比例的編寫，并將生成的測試腳本轉換為測試命令[1]。在這樣的條件下，測試腳本能夠被下載到測試目標機中，并保持運行狀況良好。

第二，利用測試代理，能夠確保測試代碼在測試機中順利執行。一般來說，由于目標機的資源較少，所以測試工具大多運行于被測試機器中。而在測試執行后采集到的數據也不會在目標機中完成分析。此時，為了確保測試結果能夠得到有效分析，必須要在目標機端口測試代理商完成相關測試數據的傳遞，將其傳輸至宿主機中完成數據分析。當測試代理接收到測試命令后，就會依照指令要求完成嵌入式軟件的多項測試，軟件生成的測試數據經由測試代理發送到宿主機中，為后續分析提供完整、準確的數據支持。

（三）結構化測試

為了確保嵌入式軟件測試的有效性，筆者使用了結構化測試方法。一般來說，嵌入式軟件結構化測試可以分成兩個部分：第一，應用基礎設施、生命周期、基本技術或組織等元素構成嵌入式軟件測試的任意項目基礎。第二，利用特殊的方式，完成特定嵌入式軟件或系統的特殊測試。通過上述兩個部分的結合，生成了更適合特定嵌入式軟件的測試方法，實現了基礎項目以及特殊功能的共同測試，確保的測試結果的全面性。

（四）安全性測試的環境制定

嵌入式軟件常用的安全性測試方式主要有兩種，包括軟件單元測試和軟件集成測試，完成了軟件開發生命周期測試[2]。在軟件的單元測試中，主要利用了嵌入式軟件的基本單位檢測，確保了輸入的有效性。并結合軟件的內部邏輯實現了縱深防御，最大程度的避免了不良操作以及惡意行為對測試造成影響。在軟件集成測試中，主要使用了缺陷認證的方式完成。具體來說，就是將測試放置于實際目標機的環境中展開，保障了漏洞入侵點優化的效果。

（五）軟件功能性安全測試

在軟件安全需求分析的基礎上，能夠實現軟件的功能性安全測試。在軟件的設計階段，為了更好的保障軟件自身的安全，一般會結合實際的安全需求，完成系統安全防護方法的增加與設計，包括數據加密、傳輸加密、權限管理、數據備份與恢復等。還要對測試用例展開設計，結合嵌入式軟件其他功能測試相似的方法實現驗證。其中，黑盒測試法是最為常用的一種驗證方式。

（六）軟件的漏洞性安全測試

在嵌入式軟件的漏洞性安全測試中，需要相關人員站在攻擊者的角度完成軟件安全測試，盡可能更多的找出軟件的漏洞。嵌入式軟件的漏洞性安全測試流程如下：選擇安全標準與安全規則;分析環境平臺的安全性;分析程序實現語言的安全性，要對被測試軟件進行威脅建模，同時利用FileFuzz技術挖掘未知漏洞;搭建測試平臺，利用靜態分析技術完成已知漏洞的挖掘，同時利用FileFuzz技術再次挖掘未知漏洞;驗證嵌入式軟件漏洞分級及可行性驗證。

總結：綜上所述，對嵌入式軟件展開安全性測試有著極為重要的意義，需要相關人員重點關注。通過測試前的準備、軟件的交叉式測試、結構化測試、安全性測試的環境制定、軟件功能性安全測試以及漏洞性安全測試，驗證了嵌入式軟件的安全性，同時也提升了軟件的運行安全。

參考文獻：

[1]郭福洲.面向安全性分析的嵌入式軟件測試方法研究[J].電子世界，2019（01）：48+50.

[2]齊迪.面向安全性分析的嵌入式軟件測試方法研究[J].信息與電腦（理論版），2018（07）：92-93.

作者簡介：

吳育宏（1985-）男，漢，廣東省廣州市人，現供職于珠海格力電器股份有限公司，初級工程師，本科學歷，研究方向：集成電路，嵌入式開發.