黑莓QNX放大招，AI鋼鐵俠化身代碼守護神

卡耐基梅隆大學的軟體工程機構，做了一項研究，完成一個功能點的成熟代碼，平均有0.75個漏洞，或者也可以用每百萬行代碼（Million Lines Of Code MLOC）約有6000個漏洞。如果優化的較好，會有約600-1000個漏洞/MLOC。約有1%-5%的漏洞，會被認為容易受到攻擊。

黑莓QNX工程服務VP Victor Marques在12月4日舉辦的黑莓QNX年度開發者大會上表示：現在高級的汽車會有1億行代碼，假設這些代碼都達到了較好的水平，那麼就會有100K的漏洞，相應的會有1000-5000個容易受到攻擊，這是一個非常大的數字。

根據CVE的報告，2017年最易受攻擊的系統中，Android名列第一，有1344個易受攻擊的漏洞，Linux、iPhone OS、WIN10次之，數量在數百個。而QNX的漏洞數量，則維持在個位數，多年來沒有發生太大變化。

隨著汽車技術的發展，電子化元器件增加，代碼量還會成倍數增加。無論對於OEM，還是系統供應商，維護、開發系統的成本，與日俱增。面對的漏洞也層出不窮，幾乎可以肯定的說，代碼漏洞是無法避免的。

那麼，如何高效測試系統的可靠性，以及檢查漏洞，就成了非常棘手的事兒。

代碼守護神Jarvis

黑莓QNX大中華區首席代表董淵文透露，為了應對代碼漏洞，黑莓早在15年前，就在公司內部研發了一款檢測代碼漏洞的神器——BlackBerry Jarvis。它第一次正式對外發布是在年初的美國車展上。

BlackBerry執行主席兼首席執行官程守宗表示，BlackBerry首先將把這套解決方案應用於汽車製造業，因為該行業錯綜複雜的軟體供應鏈催生了各種引人注目、急需處理的用例，而Jarvis則能幫助汽車製造商解決這些用例。

BlackBerry還指出，Jarvis也適用於其他行業，例如：醫療衛生、工業自動化、航空航天和國防等領域，這些行業也都迫切需要這樣一款產品。

Jarvis是一個功能強大的二進位靜態分析軟體即服務（SaaS）的工具，可以幫助汽車製造商保證他們的軟體供應鏈。BlackBerry Jarvis以簡單，快速，可擴展且經濟高效的方式檢查二進位文件，並深入洞察軟體組件的質量和安全性。

無差別檢驗

代碼漏洞的檢驗挑戰在於，要知道哪些地方可能會成為攻擊者的目標，源代碼和編譯後的產品並不是一一對應的關係，在已經發布的產品中經常出現敏感性的數據和文件。還有軟體支持鏈比較複雜，常常需要來自內部和外部的支持，因為源代碼多來自供應商。

基於二進位的檢驗讓Jarvis沒有限制，可以掃描二進位的代碼文件，無論是否有調試符號，可以掃描本地的二進位文件和位元組碼，可以發現配置文件中存在的秘鑰和敏感文件，系統可對攻擊者進行評估，有能力檢查和遍歷每一個可被攻入的突破口，包括用戶名、WiFi認證、命令行歷史、登陸文件等。Jarvis可攻擊現存的一些工具鏈，如telnet、ftp、etc，它還可以從任何數字資產中提取信息，包括多媒體文件。

路虎CEO Dr.Ralf Speth表示，使用了Jarvis之後，將安全性驗證的時間從30天減少到了7分鐘。

Jarvis被黑莓視為保護信息時代下安全的鋼鐵俠，它可以無差別掃描代碼漏洞、隱患，模擬黑客攻擊，最後提交系統的檢測報告。報告是用戶友好的可視化界面，人們可以直觀的看到系統在功能、API、文件、編譯等部分的檢測結果，針對性的優化。

賦能汽車產業鏈

Jarvis是可自定義的工具，可提供精確的可操作見解，檢查二進位文件是否存在已知的安全漏洞，並促進符合標準，允許通過添加和自定義「執行器」來持續增強功能，無論供應商或開發過程中的哪個階段，都可幫助公司在整個軟體供應鏈中實現OEM定義的保證標準。

Jarvis的檢測過程無需源代碼，通過API輕鬆與現有開發工具集成。董淵文表示，這樣的檢測方式，提高了OEM、供應商的使用意願。因為在汽車智能化大背景下，軟體研發、代碼維護都將會由專業的公司來做，很難由一家公司完成。但汽車的生命周期非常長，在使用過程中一旦發生問題，會引發嚴重問題。

但在汽車的生產過程中，OEM是無法檢測代碼的安全性，各個供應商也互設圍欄，不會將各自底層代碼共享，這從本質上造成了代碼檢測的困難。Jarvis的出現，可有效解決這個問題。OEM有了檢測的工具和標準，也不用供應商提供源代碼。

Jarvis位於黑莓網路安全7個關鍵節點中的安全支持鏈，在軟體最初為產品保駕護航。Jarvis目前已經被公司單獨劃分，獨立運營，未來會對行業持續提供支持。

活動預告

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！