黑莓QNX放大招，如何高效測試系統(tǒng)的可靠性以及檢查漏洞

卡耐基梅隆大學的軟件工程機構，做了一項研究，完成一個功能點的成熟代碼，平均有0.75個漏洞，或者也可以用每百萬行代碼（Million Lines Of Code MLOC）約有6000個漏洞。如果優(yōu)化的較好，會有約600-1000個漏洞/MLOC。約有1%-5%的漏洞，會被認為容易受到攻擊。

黑莓QNX工程服務VP Victor Marques在12月4日舉辦的黑莓QNX年度開發(fā)者大會上表示：現(xiàn)在高級的汽車會有1億行代碼，假設這些代碼都達到了較好的水平，那么就會有100K的漏洞，相應的會有1000-5000個容易受到攻擊，這是一個非常大的數(shù)字。

根據(jù)CVE的報告，2017年最易受攻擊的系統(tǒng)中，Android名列第一，有1344個易受攻擊的漏洞，Linux、iPhone OS、WIN10次之，數(shù)量在數(shù)百個。而QNX的漏洞數(shù)量，則維持在個位數(shù)，多年來沒有發(fā)生太大變化。

隨著汽車技術的發(fā)展，電子化元器件增加，代碼量還會成倍數(shù)增加。無論對于OEM，還是系統(tǒng)供應商，維護、開發(fā)系統(tǒng)的成本，與日俱增。面對的漏洞也層出不窮，幾乎可以肯定的說，代碼漏洞是無法避免的。

那么，如何高效測試系統(tǒng)的可靠性，以及檢查漏洞，就成了非常棘手的事兒。

代碼守護神Jarvis

黑莓QNX大中華區(qū)首席代表董淵文透露，為了應對代碼漏洞，黑莓早在15年前，就在公司內(nèi)部研發(fā)了一款檢測代碼漏洞的神器——BlackBerry Jarvis。它第一次正式對外發(fā)布是在年初的美國車展上。

BlackBerry執(zhí)行主席兼首席執(zhí)行官程守宗表示，BlackBerry首先將把這套解決方案應用于汽車制造業(yè)，因為該行業(yè)錯綜復雜的軟件供應鏈催生了各種引人注目、急需處理的用例，而Jarvis則能幫助汽車制造商解決這些用例。

BlackBerry還指出，Jarvis也適用于其他行業(yè)，例如：醫(yī)療衛(wèi)生、工業(yè)自動化、航空航天和國防等領域，這些行業(yè)也都迫切需要這樣一款產(chǎn)品。

Jarvis是一個功能強大的二進制靜態(tài)分析軟件即服務（SaaS）的工具，可以幫助汽車制造商保證他們的軟件供應鏈。BlackBerry Jarvis以簡單，快速，可擴展且經(jīng)濟高效的方式檢查二進制文件，并深入洞察軟件組件的質(zhì)量和安全性。

無差別檢驗

代碼漏洞的檢驗挑戰(zhàn)在于，要知道哪些地方可能會成為攻擊者的目標，源代碼和編譯后的產(chǎn)品并不是一一對應的關系，在已經(jīng)發(fā)布的產(chǎn)品中經(jīng)常出現(xiàn)敏感性的數(shù)據(jù)和文件。還有軟件支持鏈比較復雜，常常需要來自內(nèi)部和外部的支持，因為源代碼多來自供應商。

基于二進制的檢驗讓Jarvis沒有限制，可以掃描二進制的代碼文件，無論是否有調(diào)試符號，可以掃描本地的二進制文件和字節(jié)碼，可以發(fā)現(xiàn)配置文件中存在的秘鑰和敏感文件，系統(tǒng)可對攻擊者進行評估，有能力檢查和遍歷每一個可被攻入的突破口，包括用戶名、WiFi認證、命令行歷史、登陸文件等。Jarvis可攻擊現(xiàn)存的一些工具鏈，如telnet、ftp、etc，它還可以從任何數(shù)字資產(chǎn)中提取信息，包括多媒體文件。

路虎CEO Dr.Ralf Speth表示，使用了Jarvis之后，將安全性驗證的時間從30天減少到了7分鐘。

Jarvis被黑莓視為保護信息時代下安全的鋼鐵俠，它可以無差別掃描代碼漏洞、隱患，模擬黑客攻擊，最后提交系統(tǒng)的檢測報告。報告是用戶友好的可視化界面，人們可以直觀的看到系統(tǒng)在功能、API、文件、編譯等部分的檢測結果，針對性的優(yōu)化。

賦能汽車產(chǎn)業(yè)鏈

Jarvis是可自定義的工具，可提供精確的可操作見解，檢查二進制文件是否存在已知的安全漏洞，并促進符合標準，允許通過添加和自定義“執(zhí)行器”來持續(xù)增強功能，無論供應商或開發(fā)過程中的哪個階段，都可幫助公司在整個軟件供應鏈中實現(xiàn)OEM定義的保證標準。

Jarvis的檢測過程無需源代碼，通過API輕松與現(xiàn)有開發(fā)工具集成。董淵文表示，這樣的檢測方式，提高了OEM、供應商的使用意愿。因為在汽車智能化大背景下，軟件研發(fā)、代碼維護都將會由專業(yè)的公司來做，很難由一家公司完成。但汽車的生命周期非常長，在使用過程中一旦發(fā)生問題，會引發(fā)嚴重問題。

但在汽車的生產(chǎn)過程中，OEM是無法檢測代碼的安全性，各個供應商也互設圍欄，不會將各自底層代碼共享，這從本質(zhì)上造成了代碼檢測的困難。Jarvis的出現(xiàn)，可有效解決這個問題。OEM有了檢測的工具和標準，也不用供應商提供源代碼。

Jarvis位于黑莓網(wǎng)絡安全7個關鍵節(jié)點中的安全支持鏈，在軟件最初為產(chǎn)品保駕護航。Jarvis目前已經(jīng)被公司單獨劃分，獨立運營，未來會對行業(yè)持續(xù)提供支持。