您已經使用用于身份驗證的組件（如密碼、視網膜掃描、物理密鑰以及加密/解密等）保護了連接物聯網 （IoT） 的系統。但是僅僅建造這些東西是不夠的。您必須確定它們都能正常工作，并且代碼不包含任何可能授予黑客訪問權限的缺陷。安全性需要在項目一開始就使用安全協議并繼續到應用程序中的功能元素來構建。獲得這種保證的一個強大工具是動態分析。

動態分析檢查已編譯的運行代碼，并將其關聯回源代碼。它是一套工具中的主要組件，包括代碼覆蓋率、需求可追溯性和靜態分析。當然，這意味著動態分析只是制作安全應用程序所需的重要部分之一。但是，在執行代碼時對其進行分析有兩個優點：

1. 它可以通過使用代碼覆蓋率來指示已執行或測試的部分來衡量我們測試的有效性。這意味著它還可以識別不需要或可以作為黑客網關的“死”代碼。

2. 它可以利用自動測試生成和手動測試來檢查應用程序在面對預期和意外輸入時的行為。此類輸入可以來自用戶，也可以來自傳感器。它讓我們看到系統在這種情況下會做什么，以及這對安全和安保意味著什么。

手動和自動生成的測試都應與程序的要求相關。具有可來回追溯到代碼的需求對于理解系統的預期行為至關重要。此外，無論所需的覆蓋級別如何，將代碼行為鏈接回需求的能力都有助于確保我們的正確操作。這對于安全要求尤其重要。如果您可以看到代碼的行為方式，并且可以將其鏈接回安全要求，則可以測試這些要求的有效性（例如，通過模擬攻擊）并確定它們是否足夠或應該改進。

動態分析不僅用于測試已完成的程序。它還可用于單元和集成測試中的巨大優勢。結合靜態分析，查看未編譯的代碼，可用于自動生成測試用例、測試工具和整個框架，以驗證不同團隊的工作并將它們順利集成到整個系統中。了解控制流和數據流的能力可以深入了解數據（以變量、參數等形式）是如何作的。這使我們能夠看到軟件組件之間的依賴關系，以及每個組件是否從呈現的數據中產生預期的結果。

如前所述，動態分析是一組可以一起使用的工具之一。當與靜態分析結合使用以測試安全屬性時，這通常被標識為混合應用程序安全測試或 HAST。靜態分析用于檢查編碼標準的合規性，以便使用 MISRA 或 CERT C 等標準消除代碼漏洞。它還可用于在執行之前確定軟件組件之間的數據和控制流關系和依賴關系。從靜態分析的角度清理代碼后，它可以轉向動態分析，其中代碼將接受自動生成的測試和使用預期和意外輸入的手動測試。

因此，在靜態分析和需求可追溯性等補充工具的支持下，動態分析可以大大有助于確保安全、安全和最終可認證的軟件工作。

審核編輯：郭婷