• 当前位置:网站首页-> 乡村资讯 -> 乡村经济

    开源EDA,受到质疑

    乡村经济

    2024-10-14 23:39:25

    29 0

    (原标题:开源EDA,受到质疑)

    如果您希望可以时常见面,欢迎标星收藏哦~

    来源:内容编译自semiengineering,谢谢。

    开源 EDA 工具是免费的、随时可用的、并且数量不断增长,但许多芯片制造商出于安全考虑对使用它们持谨慎态度。

    积极的一面是,支持者表示这些工具有助于吸引新人才加入芯片设计行业。然而,尽管这些工具在网上传播广泛(仅 GitHub 就有 140 多个 EDA 专用存储库),但使用可见源代码可能会为恶意行为者提供新的攻击途径。在数千万美元的 NRE 和日益异构的设计元素集成的背景下,工具的前期成本并不总是最重要的考虑因素。

    Synopsys首席安全技术专家 Mike Borza 表示:“开源 EDA 工具集受到广泛支持。一些开源 EDA 工具非常出色,但有些还有很长的路要走。那里的问题与其他类型的开源软件中的问题相同。开源工具的贡献者是谁?他们是否在 RTL 中添加了可能生成木马的东西?是否存在无意的漏洞?这些无意的漏洞是工具插入的吗?这些漏洞是审查过程中的人员发现的吗?答案各不相同,就像开源软件一样。”

    开源工具的漏洞

    虽然开源 EDA 工具在学术界和业余爱好者圈子中有着明显的用途,但它们在商业 IC 设计领域也获得了一些关注。然而,真正构成采用的因素尚有待进一步解释。

    Ansys开发工具项目总监 Chris Harrold 表示:“没有一款产品不包含一定数量的开源工具。最流行的前端渲染工具、最常见的数据层、大量基本字体库,甚至像网络协议驱动程序这样常见的工具,其中绝大多数都基于、包含或本身就是开源代码。特别是在 EDA 中,开源布局和设计工具已经存在很长时间,并且在生态系统中如此突出,以至于在产品中包含其中的一部分只是兼容性和满足用户期望的问题。”

    这种普遍性带来了一系列问题。TXOne Networks 首席解决方案架构师 Jim Montgomery 表示:“如果有人贡献了一段未经测试的代码,他们可能会因为该工具易于修改而引入许多重大漏洞。你只是在添加代码,所以除非经过检查,否则可能会被忽视。”

    考虑到这个价值数十亿美元的行业所面临的风险,安全问题成为与一些最大企业合作的人们普遍关注的问题也就不足为奇了。但即使是在较小的规模上,负责人也表示,尽管源代码对所有人开放,但他们已采取广泛措施确保其工具不会受到攻击。

    eFabless 联合创始人兼首席技术官 Mohamed Kassem 强烈提倡开源 EDA 工具。虽然该公司的一些较昂贵的产品包括使用 Synopsys 等公司的工具,但 eFabless 的设计在很大程度上依赖于开源工具。“没有人可以在我们的流程中添加未经我们批准的东西,”他说。“为了获得我们的批准,我们有一个多层审查自动化系统。无论您的代码是什么,它都不会破坏其他任何东西。开源的美妙之处在于透明度。”

    eFabless 的开源工具可在 GitHub 上获取,Kassem 表示,GitHub 是监控源代码变化的“基准”,使公司能够记录谁修改了代码以及做了什么。“如果有人想提出修改建议,他们必须提交拉取请求。只有我们按照一定的标准(包括提交者)批准,它才能进入我们的主流,”他说。

    虽然 Kassem 宣称已采取措施确保工具代码的所有更改不仅经过社区的安全检查,而且还得到公司本身的验证,但并非所有开源工具都经过相同级别的审查。Synopsys 的 Borza 以恶意行为者在 Linux 实用程序 xz 库中构建的漏洞为例。

    “有时人们会检查产品的安全性,并寻找与之相关的问题,”Borza 说。“在其他情况下,这些工具并没有受到太多的审查,所以它们可能会做一些你不知道的事情。在开源软件领域,我们今年看到了一次持续多年的攻击,相当复杂,但在某些方面也相当愚蠢,其中有人怀有恶意,意识到某个库的重要性。他们开始以贡献者的身份工作,基本上强行进入该库的贡献者圈子。最终,他们开始在代码中加入人们困惑的东西。他们意识到这个人正在将漏洞插入代码中,然后这些漏洞被用于开源操作系统的系统库中以创建后门。”

    EDA 工具通常不会直接暴露在外部,因此公开可见的源代码带来的安全风险并不是什么大问题。如果开源工具确实在 EDA 层面上存在问题,那可能是由于错误的用户获得了访问权限。如果是这样的话,这表明机构参与程度要高得多,Ansys 的 Harrold 指出。

    “攻击者可以使用我们的开源工具运行大量模拟作业,这可能会造成破坏,但不会致命,”Harrold 说。“他们可能能够通过包含该特定 IP 的系统收集我们客户的数据,例如布局或设计文件。但是,如果攻击者拥有针对您的环境提交模拟作业或读取您的模型的访问权限,那么坦率地说,您的环境中的风险比开源环境要大得多。”

    芯片本身是安全的

    虽然开源 EDA 工具可能因为其固有的透明性而容易受到攻击,例如在试图攻击 Linux 的案例中,但它们也可以用于查找其所设计的芯片中的漏洞。

    “你可以引入任意数量的漏洞,”蒙戈梅里说。“再说一次,它是开源的。你可以自由地贡献和修改代码。”

    Harrold 指出,当大型公司环境中的设计师使用开源工具时,有足够的措施来确保任何后门都被发现并关闭。“对于开源,你也有责任提供更深层次的尽职调查,因为影响不仅仅在代码中,”他说。“我们所有使用开源的产品都要求在使用前对这些工具进行广泛的审查和批准。我们有一个专门的团队,专门负责管理我们对开源的使用、验证工具和识别任何风险。这包括我们自己的 PyAnsys 工具,以及我们在产品中使用的工具。我们的流程包括识别代码、许可和分发方面的潜在问题,以确保我们的客户可以使用我们的产品和开源,而不会带来额外的风险。许多人没有意识到开源许可证的风险可能与工具本身一样大。”

    他指出,开源工具与最终产品之间的联系通常非常小,因此攻击媒介极其有限。“这并不是说开源软件本质上不安全——事实上,远非如此。绝大多数开源工具都努力确保自己的安全,因为做不到这一点就会危及社区的信誉。这对开源工具来说是致命的。”

    结论

    尽管对于开源 EDA 工具的看法会继续有所不同,但重要的是将这些差异放在使用这些工具开发的芯片将在何处和如何使用、涉及多少开源软件以及谁对该软件做出了贡献的背景下。

    即使是使用商业和专有工具开发的芯片也可能容易受到攻击,而使用开源工具开发的一些芯片可能与市场上的任何芯片一样安全。但正是这些未知因素让一些工程团队感到不安,尤其是那些可能最终用于安全关键或任务关键型应用的芯片。

    尽管如此,开源 EDA 软件的使用范围仍在不断扩大,无论是作为单独的工具还是嵌入到商业或专有工具中的代码。Ansys 的 Harrold 指出,与任何新软件一样,开源软件也存在固有的挑战,而安全性就是其中之一。“不过,在这种情况下,这主要可能是一种转移注意力的手段,因为我们谈论的是封闭环境中封闭平台上运行的封闭工具,只有一层薄薄的接口利用开源工具进行创建,”他说。“开源工具更多的是为消费者提供构建自己的接口的方法,从而为他们提供更好的体验。例如,从我们的工具来看,在客户构建自定义 UI/UX 体验时,PyAnsys 在实践中不会产生额外的安全风险,因为您仍然需要一定程度的访问权限才能与底层系统进行交互。虽然新的安全问题会在新环境中出现,但系统的一般规则是,这些问题更多是由于误用或缺乏安全意识引起的,而不是底层代码的根本缺陷。”

    eFabless 的 Kassem 认为开源工具正在使 EDA 环境更加安全,而不是更不安全。“我相信,某方面最优秀的人才就在那里。当你赋予社区这样做的能力,并进行合理的治理时,你不会坐视不管,任由所有人玩弄。我们有强大的治理,我们不会干预。现在,有人会干预吗?没有什么可以称为万无一失的,这一点甚至在私人系统中也得到了证实。”

    https://semiengineering.com/security-concerns-weigh-down-open-source-eda/

    半导体精品公众号推荐

    专注半导体领域更多原创内容

    关注全球半导体产业动向与趋势

    *免责声明:本文由作者原创。文章内容系作者个人观点,半导体行业观察转载仅为了传达一种不同的观点,不代表半导体行业观察对该观点赞同或支持,如果有任何异议,欢迎联系半导体行业观察。

    今天是《半导体行业观察》为您分享的第3915内容,欢迎关注。

    『半导体第一垂直媒体』

    实时 专业 原创 深度

    公众号ID:icbank

    喜欢我们的内容就点“在看”分享给小伙伴哦

    推荐阅读

    文章评论

    注册或登后即可发表评论

    登录注册

    全部评论(0)