作者:GrammaTech产品营销高级总监Mark Hermeling

所以，你们公司要求你们设计下一代的嵌入式设备。这是一个物联网设备，它将催生下一个伟大的创意，而首席执行官们正“押注于公司”。只有最好的才算数。这是你职业生涯的决定性时刻!

所以你陷入了抓住最好的硬件（适合价格乐队）。你可以做安全启动，你有一个TPM来存储和管理你的键，你已经卸载了加密，你设置了最好的身份验证，你可以思考，你甚至探索区块链。

世界是你的牡蛎！你伸出援手vxworks的风河如您所知，此操作系统已持续时间，同时仍然是现代的。它是灵活的，同时保持高效。如果需要通过虚拟化将VxWorks与其他操作系统组合，您可以全部！

接下来，您已设置设计您的软件和开发流程，您可以设置一个严格的架构，具有您教育团队的强规则。您对不同类型的信息有单独的内存空间，在使用之前，验证在系统中进入的输入。您使用持续集成，您有同行评论。一切都很好。

随着时间的推移，人们离开了团队，新的人来了，教育没有按照规定进行，同行评审随着时间的推移变得越来越松懈。然后，刚刚加入的实习生加快了进程并“修复”了一个bug，通过不验证函数接收的作为输入的参数是否在正确的值内，引入了一个大的缓冲区溢出读取。结果，太多的数据从你的设备中复制出来，最终被“传输到网络上”。如果你够幸运，这是无辜的数据，在最坏的情况下，它可能是信用卡数据，密码或其他密钥，应该保持机密。

虽然这种情况肯定是人为的，但在现实中，它与事实相去不远。你的设备的安全性取决于它最薄弱的环节，而最薄弱的环节通常是开发应用程序的人，从BSP到中间件，再到业务逻辑，你的设备。一个小错误就能国家漏洞数据库有很多关于过去出现问题的事情。

有一些简单的步骤，您可以立即采取，以避免许多这类问题。静态分析工具是软件开发工作流的一个简单外接程序。如果您没有静态分析，那么这肯定是开发周期中的盲点。静态分析可以立即标记出违反安全策略的危险信号，无论是通用的，还是特定于您的域的。如果您已经使用了静态分析，那么可以看看您的静态分析工具如何处理数据污染。数据污染是一种通用的安全策略，它指的是流入应用程序逻辑的输入，用于访问内存结构，或在没有正确确定输入是否在正确范围的情况下做出决策。想知道更多的，这里有一个白皮书这是一个视频这提供了背景和示例，以及Data Taint如何帮助您提高嵌入式设备的安全性。