卡耐基梅隆大學(xué)的軟件工程機(jī)構(gòu)，做了一項(xiàng)研究，完成一個(gè)功能點(diǎn)的成熟代碼，平均有0.75個(gè)漏洞，或者也可以用每百萬(wàn)行代碼（Million Lines Of Code MLOC）約有6000個(gè)漏洞。如果優(yōu)化的較好，會(huì)有約600-1000個(gè)漏洞/MLOC。約有1%-5%的漏洞，會(huì)被認(rèn)為容易受到攻擊。

黑莓QNX工程服務(wù)VP Victor Marques在12月4日舉辦的黑莓QNX年度開(kāi)發(fā)者大會(huì)上表示：現(xiàn)在高級(jí)的汽車會(huì)有1億行代碼，假設(shè)這些代碼都達(dá)到了較好的水平，那么就會(huì)有100K的漏洞，相應(yīng)的會(huì)有1000-5000個(gè)容易受到攻擊，這是一個(gè)非常大的數(shù)字。

根據(jù)CVE的報(bào)告，2017年最易受攻擊的系統(tǒng)中，Android名列第一，有1344個(gè)易受攻擊的漏洞，Linux、iPhone OS、WIN10次之，數(shù)量在數(shù)百個(gè)。而QNX的漏洞數(shù)量，則維持在個(gè)位數(shù)，多年來(lái)沒(méi)有發(fā)生太大變化。

隨著汽車技術(shù)的發(fā)展，電子化元器件增加，代碼量還會(huì)成倍數(shù)增加。無(wú)論對(duì)于OEM，還是系統(tǒng)供應(yīng)商，維護(hù)、開(kāi)發(fā)系統(tǒng)的成本，與日俱增。面對(duì)的漏洞也層出不窮，幾乎可以肯定的說(shuō)，代碼漏洞是無(wú)法避免的。

那么，如何高效測(cè)試系統(tǒng)的可靠性，以及檢查漏洞，就成了非常棘手的事兒。

代碼守護(hù)神Jarvis

黑莓QNX大中華區(qū)首席代表董淵文透露，為了應(yīng)對(duì)代碼漏洞，黑莓早在15年前，就在公司內(nèi)部研發(fā)了一款檢測(cè)代碼漏洞的神器——BlackBerry Jarvis。它第一次正式對(duì)外發(fā)布是在年初的美國(guó)車展上。

BlackBerry執(zhí)行主席兼首席執(zhí)行官程守宗表示，BlackBerry首先將把這套解決方案應(yīng)用于汽車制造業(yè)，因?yàn)樵撔袠I(yè)錯(cuò)綜復(fù)雜的軟件供應(yīng)鏈催生了各種引人注目、急需處理的用例，而Jarvis則能幫助汽車制造商解決這些用例。

BlackBerry還指出，Jarvis也適用于其他行業(yè)，例如：醫(yī)療衛(wèi)生、工業(yè)自動(dòng)化、航空航天和國(guó)防等領(lǐng)域，這些行業(yè)也都迫切需要這樣一款產(chǎn)品。

Jarvis是一個(gè)功能強(qiáng)大的二進(jìn)制靜態(tài)分析軟件即服務(wù)（SaaS）的工具，可以幫助汽車制造商保證他們的軟件供應(yīng)鏈。BlackBerry Jarvis以簡(jiǎn)單，快速，可擴(kuò)展且經(jīng)濟(jì)高效的方式檢查二進(jìn)制文件，并深入洞察軟件組件的質(zhì)量和安全性。

無(wú)差別檢驗(yàn)

代碼漏洞的檢驗(yàn)挑戰(zhàn)在于，要知道哪些地方可能會(huì)成為攻擊者的目標(biāo)，源代碼和編譯后的產(chǎn)品并不是一一對(duì)應(yīng)的關(guān)系，在已經(jīng)發(fā)布的產(chǎn)品中經(jīng)常出現(xiàn)敏感性的數(shù)據(jù)和文件。還有軟件支持鏈比較復(fù)雜，常常需要來(lái)自內(nèi)部和外部的支持，因?yàn)樵创a多來(lái)自供應(yīng)商。

基于二進(jìn)制的檢驗(yàn)讓Jarvis沒(méi)有限制，可以掃描二進(jìn)制的代碼文件，無(wú)論是否有調(diào)試符號(hào)，可以掃描本地的二進(jìn)制文件和字節(jié)碼，可以發(fā)現(xiàn)配置文件中存在的秘鑰和敏感文件，系統(tǒng)可對(duì)攻擊者進(jìn)行評(píng)估，有能力檢查和遍歷每一個(gè)可被攻入的突破口，包括用戶名、WiFi認(rèn)證、命令行歷史、登陸文件等。Jarvis可攻擊現(xiàn)存的一些工具鏈，如telnet、ftp、etc，它還可以從任何數(shù)字資產(chǎn)中提取信息，包括多媒體文件。

路虎CEO Dr.Ralf Speth表示，使用了Jarvis之后，將安全性驗(yàn)證的時(shí)間從30天減少到了7分鐘。

Jarvis被黑莓視為保護(hù)信息時(shí)代下安全的鋼鐵俠，它可以無(wú)差別掃描代碼漏洞、隱患，模擬黑客攻擊，最后提交系統(tǒng)的檢測(cè)報(bào)告。報(bào)告是用戶友好的可視化界面，人們可以直觀的看到系統(tǒng)在功能、API、文件、編譯等部分的檢測(cè)結(jié)果，針對(duì)性的優(yōu)化。

賦能汽車產(chǎn)業(yè)鏈

Jarvis是可自定義的工具，可提供精確的可操作見(jiàn)解，檢查二進(jìn)制文件是否存在已知的安全漏洞，并促進(jìn)符合標(biāo)準(zhǔn)，允許通過(guò)添加和自定義“執(zhí)行器”來(lái)持續(xù)增強(qiáng)功能，無(wú)論供應(yīng)商或開(kāi)發(fā)過(guò)程中的哪個(gè)階段，都可幫助公司在整個(gè)軟件供應(yīng)鏈中實(shí)現(xiàn)OEM定義的保證標(biāo)準(zhǔn)。

Jarvis的檢測(cè)過(guò)程無(wú)需源代碼，通過(guò)API輕松與現(xiàn)有開(kāi)發(fā)工具集成。董淵文表示，這樣的檢測(cè)方式，提高了OEM、供應(yīng)商的使用意愿。因?yàn)樵谄?a target="_blank">智能化大背景下，軟件研發(fā)、代碼維護(hù)都將會(huì)由專業(yè)的公司來(lái)做，很難由一家公司完成。但汽車的生命周期非常長(zhǎng)，在使用過(guò)程中一旦發(fā)生問(wèn)題，會(huì)引發(fā)嚴(yán)重問(wèn)題。

但在汽車的生產(chǎn)過(guò)程中，OEM是無(wú)法檢測(cè)代碼的安全性，各個(gè)供應(yīng)商也互設(shè)圍欄，不會(huì)將各自底層代碼共享，這從本質(zhì)上造成了代碼檢測(cè)的困難。Jarvis的出現(xiàn)，可有效解決這個(gè)問(wèn)題。OEM有了檢測(cè)的工具和標(biāo)準(zhǔn)，也不用供應(yīng)商提供源代碼。

Jarvis位于黑莓網(wǎng)絡(luò)安全7個(gè)關(guān)鍵節(jié)點(diǎn)中的安全支持鏈，在軟件最初為產(chǎn)品保駕護(hù)航。Jarvis目前已經(jīng)被公司單獨(dú)劃分，獨(dú)立運(yùn)營(yíng)，未來(lái)會(huì)對(duì)行業(yè)持續(xù)提供支持。