對于不同的組織，軟件開發中的合規性可能意味著不同的事情。獲得兼容軟件的差異可能與他們銷售產品的市場有關。從嚴格的安全關鍵軟件開發到需要安全性和隱私功能來處理敏感數據的企業應用程序，它們的范圍廣泛。

什么是兼容軟件？

標準和法規出現在不同的行業中，并且已經制定出來以保護客戶和用戶免受傷害。這種傷害可能表現為人身危險或憑證和敏感個人信息的財務損失。這些標準通常是對導致人員受傷或重大數據泄露的事件的反應。

安全、保安和隱私標準

在安全方面，有幾個標準，其中包括：

• DO-178C（飛機航空電子設備）
• ISO 26262（汽車軟件）
• EN 50128（鐵路系統）
• IEC 62304（醫療）

還有一些安全和隱私標準，例如GDPR用于一般數據保護/隱私，以及PCI-DSS用于安全處理信用卡信息。

符合標準要求

對于大多數標準，合規性通過各種方式證明您所部署的軟件符合標準要求。開發過程會生成說明合規性的文檔、報告和其他工件。它牢記審計工作，并且可以包括演示和驗收測試。

合規的時間和成本取決于行業標準要求的嚴格程度。這些標準基于軟件對最終用戶的安全性影響定義了設計和開發指南。在嚴重的情況下，產品的故障可能導致死亡或受傷。例如，針對安全完整性等級（A，B，C，D）的等級定義了ISO 26262，其中ASIL A是最低的安全風險或影響，而D是最高的。

安全完整性等級

發生的可能性加上風險的嚴重性和可控制性決定了產品符合安全完整性級別的位置。（可控制性是駕駛員減輕風險的能力。）：

嚴重性、暴露程度和可控性表

下表顯示了ISO 26262中各種ASIL的嚴重程度、暴露程度和可控制性：

圖2：危害分析和風險評估

EN 50128使用具有類似標準的術語軟件安全完整性等級（SSIL）。ISO 26262和EN50128標準均從IEC 61508得出其定義，IEC 61508是功能安全的總體標準。

這些SSIL水平還基于失效的可能性以及生命和肢體的失效嚴重程度。正如預期的那樣，該級別或嚴格程度隨ASIL/SIL級別的要求而提高，并且合規成本隨之增加。審查的水平隨風險而增加。因此，這會對軟件開發成本和進度產生影響，開發團隊可以通過自動化來改進。

實現軟件合規性相關的風險和成本

軟件組織面臨的最大風險是軟件故障，該軟件故障可能導致死亡、受傷或其他類型的損害，從而可能導致責任。為了幫助減少這種風險，軟件組織應遵守安全標準。組織必須證明他們做出了所有合理的工程選擇，以確保用戶/客戶/操作員的安全。創建更安全的軟件需要對精神和行業標準1的承諾。

返工，重新測試和重新記錄

在軟件生命周期的后期發現重大安全問題需要大量的返工，重新測試和重新記錄。這很昂貴，需要時間解決。它還指出系統和工程過程中可能的故障。

在軟件開發生命周期（SDLC）中盡早將左合規性轉移至至關重要。（我們建議針對所有質量、安全性和安全性慣例向左移動。）為此，我們的建議包括正確的工具、過程和自動化，以幫助降低軟件風險并提高合規性，而不會對成本和進度產生負面影響。

缺乏適合應用程序空間的流程

通常，許多組織缺乏采用適合應用程序空間的文化和流程。例如，對安全性要求很高的軟件在軟件開發中要求很高的嚴格度，這意味著更高的質量。

缺乏正確的工具和自動化

符合安全性和安全性要求的組織承擔著繁重的工作量，其中涉及為每個軟件階段和過程提供合規性審核跟蹤。除了通常的軟件開發外，其他工作還包括：

• 跟蹤對代碼和測試的需求。

• 生成故障、代碼覆蓋率、修復和偏差的報告。

在大多數情況下，可使用編碼標準，例如，ISO 26262的MISRA。因此，團隊必須努力糾正與標準的偏差并衡量合規性。

必須進行功能測試以證明產品符合要求。這是對安全性和安全性要求測試的補充。所有測試都需要可追溯性和審核文檔。

綜合起來，可追溯性、測試、嚴格的開發標準和文檔級別的提高，大大增加了開發成本產品。這使得下游遵從問題的風險更加艱巨。

減少這些過程的工作量和繁瑣的關鍵是自動化。

工具和自動化合規

軟件開發工具通過使最重復和繁瑣的流程自動化來幫助減少合規流程的工作量和錯誤。此外，工具更適合跟蹤項目歷史，并將結果與需求、軟件組件、測試和記錄的偏差相關聯。

工具還有助于實施良好實踐，例如編碼標準、單元測試、代碼覆蓋率、可追溯性等。團隊可以在生命周期的早期采用工具，以幫助您將合規工作負載轉移到左邊。

降低自動化合規的風險和成本

以下各節討論Parasoft工具如何幫助降低合規風險和成本。

Parasoft產品如何適合SDLC經典V圖表的每個階段。

符合Parasoft工具的功能安全標準

開發安全關鍵軟件并非易事。Parasoft通過提供廣泛的開發測試和驗證工具來減輕負擔。以下是其中一些工具：

• 編碼標準符合性分析

• 數據和控制流分析

• 單元測試

• 應用監控

• 工作流程組件

Parasoft直接支持的標準包括：

• MISRA

• AUTOSAR

• CERT

• CWE

• DO-178B/C

• EN 50128

• IEC 61508

• IEC 62304

• ISO 26262

• DISA ASD STIG

• OWASP

• PCI DSS

• UL 2900

軟件開發團隊可以使用Parasoft C/C++test達到合規性并節省時間。經過驗證的工具可提供測試功能，可配置的上下文以及報告機制，以協助高級軟件測試方法。

團隊可以使用一種自動生成的報告和儀表板的實用方法來預防，暴露和糾正其軟件中的錯誤。他們可以借助自動化工具認證來準備審核所需的文檔。

Parasoft幫助組織執行靜態分析、單元測試、結構代碼覆蓋率、需求可追溯性以及該標準推薦的其他測試方法。

匯編代碼覆蓋率

Parasoft的Assembly Coverage Tool（ASMTool）滿足DO-178B/C Level A提出的可執行對象代碼建議。ASMTool可以毫不費力地從可執行對象代碼生成結構覆蓋率報告。

報告的結構覆蓋率具有對編譯器生成的代碼的易于回顧的洞察力，這些代碼不能直接追溯到源代碼語句。它還跟蹤開關語句，從而在機器語言指令級別提供對測試執行路徑的全面了解。

ASMTool還支持從軟件集成過程（目標硬件測試）和桌面開發環境（用于單元測試的Parasoft C/C++test）收集結構覆蓋率。

Parasoft的Assembly Coverage Tool（ASMTool）

符合編碼標準

編碼標準在許多安全標準中都起著重要作用。在大多數情況下，要符合諸如AUTOSAR C++14（在汽車系統中使用）之類的編碼標準的唯一實用方法是使用靜態分析工具。Parasoft C/C++test支持編碼標準的映射檢查器，因此開發人員無需將警告回引用至標準。

團隊可以根據他們使用的任何規則（AUTOSAR C++ 14，HIC++，MISRA等）所要求的要求，定制Parasoft的交互式報告系統，并實現高效的日常工作流程。開發人員可以在不離開IDE的情況下檢查其代碼的符合性，并將掃描過程集成到服務器上的CI構建中。

Parasoft還支持關注安全性的標準，例如SEI CERT。它可以幫助組織檢測其代碼中的安全漏洞，并管理實現符合標準的過程。符合CERT標準的代碼檢查器的高精度、低錯誤警報和復雜的合規性報告有助于最小化相關成本和開銷。

Parasoft獨特的合規性報告提供了動態的開發過程視圖。交互式報告和自定義的儀表板可提供對CERT符合狀態結果的不同視圖，并使用標準定義的措辭和分類，以使其更易于理解。

集中報告和文件生成

結合多種測試自動化技術可獲得大量質量信息。這些數據很有用，但數量龐大，難以深入了解可交付成果的質量并難以就開發過程中的發布或更改做出決策。

為了支持決策，將數據匯總到集中的質量視圖中是有益的。圖形化的儀表板提供了測試進度的頂級視圖。將質量數據與需求和用戶案例相關聯，可提供真正的雙向可追溯性，因此您可以評估業務風險和測試實踐中的差距所產生的影響。

Parasoft的報告和分析儀表板匯總了來自所有不同測試實踐的數據，包括靜態分析（如AUTOSAR或MISRA編碼標準合規性）、單元測試、API測試和系統級功能驗證的代碼覆蓋率和可追溯性。這提供了一個集中質量視圖，它是實時審核或您的過程，以及對所需標準符合性狀態的可見性。該分析還生成證明與審核員合規所需的文檔。

Parasoft DTP集中了所有開發工具和開發階段的質量集中視圖。

作為示例，讓我們看一下MISRA和SEI CERT的Parasoft C/C++test和Parasoft DTP的報告。

MISRA合規報告

Parasoft C/C++test提供了專用報告，用于記錄對MISRA C的合規性。Parasoft Web門戶上的儀表板提供了有關項目當前狀態的概覽視圖，例如：

報告中心：MISRA C 2012合規性

這些儀表板小部件均可以鏈接到更詳細的視圖，其中包含詳細的違規報告、文件和源代碼。

從這里，您可以自動創建記錄MISRA遵從性所需的報告，如《MISRA遵從性2016：概述與MISRA編碼指南》中所述。自動化這些報告可節省大量時間，從而大大減少了記錄項目合規性所需的手動工作量。

SEI CERT C合規報告

盡管SEI CERT C標準不需要特定的合規性報告，但確實需要一個項目來記錄對規則集的符合性（例如L1，L2和完全合規性。）Parasoft C/C++test包括一個專用于CERT的儀表板C一致性，如下所示：

報告中心：SEI CERT C合規性

團隊負責人可以使用該儀表板視圖來更深入地研究特定的關注領域，并為開發人員分配任務，以隨著時間的推移提高合規性。在編碼標準本身使用的風險評估框架的背景下查看結果（例如，看到違反L1準則的特定情況），極大地簡化了流程。自動執行此報告可以減少團隊負責人和架構師為實現CERT C合規性而需要執行的分析量。

工具資格

工具認證是安全性至關重要的軟件開發的必需過程。 Parasoft的Parasoft C/C++test資格認證套件可自動執行創建工具文檔的過程，以支持靜態分析，單元測試和覆蓋范圍要求的工具認證，從而減少了潛在的人為錯誤并減少了執行工具認證所需的時間。

降低工具鑒定的風險和成本包括以下幾點：

• 自動生成合規性文檔。通過引導用戶通過直觀的工作流程并生成對證明工具合格性至關重要的文檔，Parasoft可以自動創建合格的Parasoft C/C++test以用于安全性至關重要的行業所需的文檔。
• 縮小使工具合格所需的范圍。Parasoft高效工作流程的第一步是選擇軟件項目中使用的Parasoft C/C++test的特定用例和功能，以減少需要認證的整體范圍并簡化認證流程。
• 自動執行測試。盡管工具鑒定的過程不能100％自動化，但是Parasoft鑒定工具的獨特工作流程使它盡可能輕松，減少了手動測試工作，并針對選定的用例執行了自動化測試。

降低軟件合規性的成本和風險

概述了Parasoft產品在每個開發階段的作用，Parasoft如何降低風險并節省軟件合規性？

多種測試技術集成到一個工具中。在開發具有功能安全要求的應用程序時，Parasoft C/C++test的全面性可以提高開發人員的效率。開發人員可以專注于他們的核心活動，而無需學習，集成和限定幾種工具。工具集成商或架構師不必花時間在工具之間實現接口以交換數據和生成統一的報告。相反，他們可以直接從Parasoft獲得所有這些。

經過驗證的測試套件，專門用于對功能性至關重要的應用程序。在執行單元測試或運行時內存監視時，構建測試二進制文件所需的所有組件（包括用于測試代碼激勵和存根的測試用例）均以源代碼的形式表示，并且可以進行版本控制和檢查。這種方法優于其他工具，在這些工具中，從主機在運行時發送經過測試的代碼的刺激，并且在分配給內存中的變量之前需要進行其他轉換。C/C++test除去了不必要的層，并確保執行測試之前的內存狀態與生產系統中的存儲方式相同。

消除了用于功能安全合規的開銷。通過Parasoft屢獲殊榮的Process Intelligence Engine，Parasoft提供了整個團隊的數據集成，針對不同編碼標準定制的便捷報告以及高級分析功能。用戶受益于跨多個不同源（例如源代碼或需求管理系統、測試工具或ALM）聚合信息以進行獨特數據分析的能力，從而有助于以最有效的方式集中精力。團隊可以通過監視開發過程中的趨勢來提高生產力，并輕松生成符合行業標準（例如“MISRA Compliance: 2016”）的報告。

總結

建立對安全性和安全性至關重要的軟件需要嚴格的過程，這些過程實施起來既耗時又昂貴，并且有充分的理由：此類軟件的故障可能會帶來嚴重的后果。制定了行業標準，以幫助指導公司構建高質量的軟件，以確保已開發產品的安全性。但是，滿足這些行業標準的成本很高。該成本既包含開發過程，又包含記錄工程過程所需的工件。組織可以通過正確使用工具和現代軟件技術來降低成本。

Parasoft為流程提供了正確的工具和支持，通過經過驗證的統一工具套件，可幫助降低流程合規性的風險和成本，從而減少因使用多家供應商的多種工具而造成的“摩擦”。集成的解決方案還可以大大簡化工具認證，這是合規性的關鍵方面。

有了集成平臺，就可以在開發的各個階段從多個工具收集獨特的數據分析，從而將資源集中在最重要的目標上。這種合規性、質量和安全性的集中視圖是做出合理決策并大大減少實現合規性的猜測的關鍵。