Eduard Drusa
Vývojar so skoro dvadsaťročnými skúsenosťami v rôznych odvetviach od hard-embedded a automotive až po desktopový a serverový vývoj.
Vždy som bol zvedavý ako fungujú jednotlivé časti, ktoré tvoria stavebné bloky technológii s ktorými som pracoval. Neskor, keď som zmenil odvetvie v ktorom som pracoval, ma tá istá zvedavosť hnala k jednoduchej otázke: Sú koncepty, ktoré poznám použiteľné aj v inom kontexte než v tom, v ktorom som ich spoznal? Vieme podobné výzvy riešiť podobným prístupom aj keď podmienky sú úplne iné?
Po životnej zmene vo forme prechodu na freelancing som spustil svoj súkromný hobby projekt real-timoveho operačného systému, ktorý robí presne to: prináša niektoré koncepty z desktopových operačných systémov až na úroveň low-power embedded vývoja. Cieľom tohto projektu je zásadne zlepšiť kybernetickú bezpečnosť embedded systémov. To ma priviedlo k Cybersecurity Resilience Act, keďže sa môjho projektu bytostne dotýka.
Sessions
O Cybersecurity Resilience Act (CRA) sa toho už napísalo a povedalo veľa, ale skúsenosti ukazujú, že stále nie dosť. CRA zásadne zmení prax v prístupe k bezpečnosti software. Z toho, čo bývalo "best practices" sa v podstate stáva zákonné minimum.
CRA je veľmi široká téma a v tejto prednáške sa budem viac venovať interakcii embedded zariadení a open-source software (OSS). OSS má v CRA špecifické postavenie. Európska Komisia pochopila, že požadovať po ľuďoch, ktorí tvoria software vo svojom voľnom čase a bez nároku na honorár pod hrozbou sankcií by znamenalo de-facto likvidáciu open-source v Európe.
To vedie k zaujímavej situácii v embedded odvetví, ktoré je do značnej miery na open-source komponentoch postavené. Zároveň embedded software dlhodobo figuruje na vysokých priečkach rebríčkov v počte a dopade bezpečnostných zraniteľností. Zastaralé procesy, komplikované aktualizácie firmware a špecifické postavenie open-source budu pre toto odvetvie výzvou.
Vo svete embedded vývoja koluje o testovaní veľa mýtov, ktoré su považované za pravdy. Jednym z nich je mýtus o tom, že vývoj a testovanie sú možné jedine na cieľovej platforme na ktorej firmware nakoniec pobeží.
Tento mýtus ma hlasných zástancov a presadzuje sa vo formách od "vývoj mimo cieľového hardware vôbec nie je možný" po jemnejšie "výsledky získane z testov na inom HW o ničom nevypovedajú".
V tejto prednáške niekoľko takých mýtov zbúram. Nebude to však možné bez nabúrania predstavy o tom, ako vyzerá dobrý firmware. Firmware dnešných zariadení dávno prerástol rozmery jednoduchých ovládacích slučiek, ktorých jedinou starosťou bolo riadiť periférie s minimálnou latenciou, spotrebou energie a to všetko na zastaralom 8-bitovom mikrokontroleri.
V dnešnej dobe firmware plni úlohy, ktoré s riadením často nemajú nič spoločné a veľká čast embedded zariadení je nejakou formou online. Táto zmena paradigmy má vplyv ako na architektúru firmware tak aj na testovanie.