盖蒂张照片
IOT开发人员无法忽视第三方代码
IOT开发人员必须采用最佳实践 - 例如定期更新 - 将第三方代码纳入IoT设备并寻址潜在漏洞。
随着普遍的互联网连接为连接设备创建无休止的功能可能性,它还加速了Io开发人员无法忽视的新挑战。
组织越来越多地部署高级功能,如计算机愿景和机器学习在边缘,增加了技术复杂性并使解决现场问题更加困难。操作复杂性影响产品功能,并完全砖块连接设备。通常,这是因为别人的工作的工作。
IOT开发人员传统上专注于硬件,但连接需要越来越多的嵌入式软件,而且通常,第三方创建该软件。由于IOT设备的实用和覆盖范围增长,毫无疑问,管理和理解第三方代码是行业中每个人都必须考虑的东西。
第三方软件组件在IOT中发挥着越来越关键的作用。从2015年到2020年,在IOT产品中使用的第三方商业代码增加了三倍,从17%到56%,据VDC研究。在连接的设备中,开发人员可以在第三方软件中构建,作为通信库,加密库,通信协议或芯片和组件的通信模块内的一部分。
广泛使用的第三方代码也可以将主要漏洞引入IoT设备管理。对于上下文,想象一个流行的可穿戴设备,该设备已经实现了监控平台以捕获操作数据和推送超空气(OTA)更新。然后,它会在第三方代码库中遇到一个不可避免的漏洞,使其OS开放到潜在的安全漏洞。尽管有最佳的开发实践,严格的测试和全面的管理能力,但看似安全的连接设备可以成为第三方代码错误的受害者。
这风险不是未知的。根据VDC研究,近四分之三的IOT开发人员最近说安全对发展至关重要。但是,只有56%的组织具有用于测试IOT设备安全性的正式政策和程序。这是一个巨大的断开连接。
将其留给第三方代码的提供者来缓解或管理漏洞可能会有风险。例如,某些创建者可能致力于定期硬件和固件更新。其他可能因组件许可等考虑而受到束缚,这可以防止它们快速有效地源源或解决错误。有些人可能不会考虑更新。
直到行业监管在IOT设备开发中对第三方代码的要求进行了解决,但ONU落在设备制造商上,以遵循最佳实践。以下是最重要的三个:
1.将第三方守则视为整体发展计划的一部分
特别是在一个关联的世界中,开发人员在所有发展阶段制作的决策有可能使组织和持久的组织和业务影响成为潜力。开发人员应评估第三方代码在开发周期的所有阶段的影响。当开发人员正在确定要求并制定用户界面决策时,评估是必要的,当编码风险和合规性时,以及在已部署用于快速修复的熟悉代码和代码的定期审计期间。
2.在第三方代码的情况下,设备必须可更新
IOT开发用于表示特定设备用例的写入静态固件。一旦发布,开发人员将没有进一步的互动或与产品进行接触。但连接的最终用户对设备寿命和功能的期望增加了。现在IOT设备制造商必须投资设备设计与开发以及固件开发和正在进行的设备操作,包括对第三方错误的会计。这需要构建设备的计划,用于将OTA更新发送并将可操作性集成到设备中以测量健康以及第三方代码如何影响设备。
3.设备制造商必须知道他们正在使用什么
为了为未知问题做好准备 - 并向抢占所知道的问题 - 物联网开发人员必须持续了解他们依赖的第三方代码,所提供的许可证和提交人的支持。但开发人员必须在第三方代码可见性方面进一步进一步。原样提供并部署大多数第三方代码。它是在工程师上工作了解第三方代码在引擎盖下的工作原因,因为它们 - 不是第三方代码作者 - 当错误不可避免地提出时,必须解决它。
扩大意义,消费者需求和迫在眉睫的行业监管促使IoT设备制造商必须不断改进和迭代其产品。充分了解这些操作如何依赖于第三方代码并避免陷阱盲目的依赖可以进行更好的设备操作,更快乐的客户和整体更好的产品。
关于作者
Françoisbaldassari是创始人兼首席执行官Memfault.,连接的设备可观察性平台提供商。Baldassari通过交易的嵌入式软件工程师对软件工程中的工具和自动化的热情驱动了他的启动Memfault。在Memfault之前,François带领Oculus的固件团队并在鹅卵石上建造了OS。Baldassari有一个B.S.在棕色大学的电气工程中。
