隨著汽車行業(yè)加速邁向高度互聯(lián)和自動(dòng)駕駛時(shí)代，嵌入式軟件開發(fā)中網(wǎng)絡(luò)安全的重要性空前凸顯。那么，如何為汽車網(wǎng)絡(luò)安全選擇合適的編程語言？

本文將探討編程語言的選擇如何影響汽車系統(tǒng)的網(wǎng)絡(luò)安全和軟件質(zhì)量，并評(píng)估八種主流編程語言——C、C++、Java、Kotlin、Python、C#、JavaScript 和 Rust——在 AUTOSAR 平臺(tái)及安全關(guān)鍵型開發(fā)環(huán)境下的適用性。

汽車安全標(biāo)準(zhǔn)考量

現(xiàn)代汽車是高度復(fù)雜、由軟件驅(qū)動(dòng)的系統(tǒng)。隨著系統(tǒng)復(fù)雜性的增加，攻擊面也不斷擴(kuò)大，使得網(wǎng)絡(luò)安全成為重中之重。根據(jù)Perforce 《汽車軟件開發(fā)報(bào)告》，安全問題連續(xù)多年位列開發(fā)者最關(guān)注的三大問題之一。

為應(yīng)對(duì)這些挑戰(zhàn)，開發(fā)者必須遵循 ISO/SAE 21434 等標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)規(guī)范了道路車輛的網(wǎng)絡(luò)安全工程。盡管 ISO 25010 軟件質(zhì)量模型中定義的通用軟件質(zhì)量特性并非強(qiáng)制要求，但它們對(duì)汽車軟件依然具有相關(guān)性。然而，2025 年的報(bào)告中有 22% 的受訪者指出，滿足此類標(biāo)準(zhǔn)的安全要求既困難又耗時(shí)。

因此，為汽車網(wǎng)絡(luò)安全選擇編程語言時(shí)，需要充分考慮標(biāo)準(zhǔn)要求。編程語言在滿足這些標(biāo)準(zhǔn)方面起著關(guān)鍵作用，其影響范圍涵蓋模塊化、抽象化能力乃至抵御漏洞的韌性等方方面面。

ISO/SAE 21434：網(wǎng)絡(luò)安全工程

ISO/SAE 21434 是一項(xiàng)較新的汽車標(biāo)準(zhǔn)，用于管理道路車輛電子系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。盡管該標(biāo)準(zhǔn)出臺(tái)時(shí)間不長，但根據(jù) 2025 年P(guān)erforce《汽車軟件開發(fā)報(bào)告》，79% 的受訪者所在企業(yè)已被要求遵守 ISO/SAE 21434標(biāo)準(zhǔn)。

該標(biāo)準(zhǔn)對(duì)軟件開發(fā)提出了明確要求，包括分析軟件是否存在固有弱點(diǎn)，以及整體在網(wǎng)絡(luò)安全需求方面的一致性、正確性和完整性。它還列出了選擇編程語言時(shí)應(yīng)考慮的標(biāo)準(zhǔn)，例如安全設(shè)計(jì)和編碼技術(shù)，以及明確的語法與語義定義。

此外，它還包含語言本身未涉及的語言標(biāo)準(zhǔn)。這可以通過多種方式實(shí)現(xiàn)。最常見的方式是使用定義語言安全子集的編碼標(biāo)準(zhǔn)。例如，C語言最常使用 MISRA C 規(guī)范。MISRA C 定義了基本的類型系統(tǒng)，以防止C語言中與隱式類型轉(zhuǎn)換相關(guān)的問題。這是強(qiáng)類型（strong typing）系統(tǒng)的典型示例。

您可以借助Perforce QAC和Klocwork等靜態(tài)分析工具，輕松檢查代碼是否符合編碼規(guī)范。

在本文對(duì)比中，我們采用以下術(shù)語來概括編程語言的特性：

• 語言（Language）：指語言標(biāo)準(zhǔn)的質(zhì)量，即是否對(duì)任意程序的語法正確性和語義有清晰定義。
• 特性（Features）：指語言功能的豐富程度，可以支持現(xiàn)代編程范式，方便編寫安全可靠的軟件。
• 指導(dǎo)（Guidance）：指支持該語言的文檔和工具的可用性，包括編碼規(guī)范和靜態(tài)分析工具。
• 集成（Integration）：指該語言編寫的程序與其他語言編寫的程序交互的難易程度。
• 韌性（Resilience）：指是否具備防止語言被不當(dāng)使用的方法，這是語言工具鏈和靜態(tài)分析工具保護(hù)的結(jié)合。

ISO 25010：軟件質(zhì)量模型

ISO 25010 定義了 8 項(xiàng)質(zhì)量特性和 31 項(xiàng)子特性。

編程語言需要提供相應(yīng)功能，以便開發(fā)者能夠開發(fā)出具備這些質(zhì)量特性的軟件。

“安全性”是其中一項(xiàng)特性，但需要評(píng)估所有質(zhì)量特性在多大程度上被編程語言所支持。對(duì)于實(shí)時(shí)應(yīng)用而言，“功能適用性”和“性能效率”同樣重要。

此外，對(duì)于汽車項(xiàng)目而言，“可維護(hù)性”非常重要，因其高度依賴組件復(fù)用；“可移植性”也十分關(guān)鍵，以便能夠輕松適配新的硬件。

AUTOSAR 平臺(tái)

AUTomotive Open System ARchitecture（AUTOSAR，汽車開放系統(tǒng)架構(gòu)）旨在標(biāo)準(zhǔn)化并確保基礎(chǔ)軟件元件、接口和總線系統(tǒng)的未來適應(yīng)性，以幫助整車廠在控制成本的同時(shí)，管理日益增長的系統(tǒng)復(fù)雜性。

其中，Classic Platform API 面向具有嚴(yán)格實(shí)時(shí)要求和安全關(guān)鍵性的車輛功能，使用 C 語言定義；而面向聯(lián)網(wǎng)與自動(dòng)駕駛的新一代 Adaptive Platform API 則使用 C++語言。不過，Adaptive Platform 明確支持引入其他語言的綁定。

接下來，除了 C 和 C++，我們還將綜合評(píng)估其他主流的編程語言——Python、Java、C#、JavaScript、Go 和 Rust，共同分析這些語言的質(zhì)量特性，以及如何緩解其潛在缺陷。

不同編程語言的評(píng)估

原生語言（Native Languages）

原生語言被編譯為目標(biāo)代碼，可直接在目標(biāo)機(jī)器上執(zhí)行。按初始發(fā)布日期排序，這些語言依次包括 C、C++、Rust 和 Go。

C 和 C++

原生執(zhí)行存在安全與可靠性隱患：程序錯(cuò)誤可能導(dǎo)致崩潰，安全漏洞也可能被利用。ISO 維護(hù)著 C 和 C++ 的語言標(biāo)準(zhǔn)，標(biāo)準(zhǔn)中明確規(guī)定了問題行為。C 和 C++ 可能表現(xiàn)出多種未定義行為（例如使用未初始化的數(shù)據(jù)、空指針解引用或緩沖區(qū)溢出）。

幸運(yùn)的是，這些問題已被充分認(rèn)知，且存在諸如MISRA C 和 MISRA C++ 等編碼規(guī)范，以有效緩解未定義行為。靜態(tài)分析工具如Perforce QAC 和 Klocwork 可用于強(qiáng)制執(zhí)行這些規(guī)范。

原生語言天生具備高性能優(yōu)勢(shì)。C 和 C++ 能夠提供最高級(jí)別的執(zhí)行控制，從而實(shí)現(xiàn)最佳的運(yùn)行時(shí)性能和內(nèi)存效率。但這也帶來了內(nèi)存訪問錯(cuò)誤的風(fēng)險(xiǎn)，例如內(nèi)存釋放后使用。編碼規(guī)范可在此方面提供指導(dǎo)：MISRA C 明確禁止使用動(dòng)態(tài)內(nèi)存；而在 C++ 中，可利用“作用域綁定資源管理”（SBRM）實(shí)現(xiàn)內(nèi)存管理自動(dòng)化。

Go

Go 語言由 Google 于 2009 年發(fā)布，設(shè)計(jì)上強(qiáng)調(diào)并發(fā)執(zhí)行。它允許像C語言一樣手動(dòng)管理內(nèi)存（伴隨著相應(yīng)風(fēng)險(xiǎn)），也支持使用垃圾回收器（GC）進(jìn)行內(nèi)存自動(dòng)管理（但會(huì)引入非確定性），因此不適用于實(shí)時(shí)應(yīng)用。

Rust

《Rust 參考手冊(cè)》描述了 Rust 編程語言，F(xiàn)errocene 工具鏈則包含了語言規(guī)范。

Rust 提供了一種基于“所有權(quán)”機(jī)制的新型動(dòng)態(tài)內(nèi)存管理方案。它規(guī)定了程序必須遵守的所有權(quán)規(guī)則，這些規(guī)則用于自動(dòng)化內(nèi)存管理，類似于 C++ SBRM。這意味著編寫正確的程序更難，但生成的代碼無需垃圾回收，適用于實(shí)時(shí)應(yīng)用。語言規(guī)則確保安全的Rust代碼不會(huì)出現(xiàn)空指針解引用、緩沖區(qū)溢出或數(shù)據(jù)競(jìng)爭(zhēng)等錯(cuò)誤。對(duì)于不安全的代碼，則無法提供此類保證。

新成立的“安全關(guān)鍵型 Rust 聯(lián)盟”（Safety-Critical Rust Consortium）正致力于制定更完善的安全指南。Perforce 已經(jīng)開發(fā)出適用于 Rust 的 MISRA C 子集，并計(jì)劃在即將發(fā)布的Perforce QAC版本中推出。

總結(jié)來說：

• 就語言特性而言，C 語言僅支持過程式編程，而其他語言均支持現(xiàn)代編程范式。
• C 編譯器幾乎支持所有硬件平臺(tái)；C++ 編譯器覆蓋其中的絕大多數(shù)平臺(tái)；Rust 利用 LLVM 技術(shù)編譯為原生代碼，支持廣泛的架構(gòu)；而 Go 僅支持桌面平臺(tái)。
• 由于 C++ 基于 C語言，可以直接在 C++ 程序中調(diào)用 C 代碼。又因?yàn)?C 是上述語言中最古老且最簡(jiǎn)單的，而其他語言的編譯器或運(yùn)行時(shí)環(huán)境通常是以 C/C++ 實(shí)現(xiàn)，因此 C 代碼可以集成到幾乎所有環(huán)境中。
• C++ 的集成相對(duì)復(fù)雜，因其應(yīng)用二進(jìn)制接口（ABI）可能變化且存在名稱修飾（name mangling）問題，但對(duì)于多數(shù)語言已提供解決方案。
• Rust 與 C 語言的兼容性非常好，并支持 C++。Rust 基金會(huì)已啟動(dòng)“C++/Rust 互操作性計(jì)劃”，旨在為 C++ 開發(fā)成熟且標(biāo)準(zhǔn)化的解決方案。
• Go 不支持直接調(diào)用 C/C++ 函數(shù)，但可以通過生成封裝器（wrapper）實(shí)現(xiàn)交互——這些封裝器依賴于所使用的 Go 編譯器。

平臺(tái)語言（Platform Languages）

ava 與 Kotlin

平臺(tái)為底層硬件機(jī)器提供了抽象層。它包含一個(gè)編譯器，用于為虛擬機(jī)生成字節(jié)碼。Java 和 Kotlin 運(yùn)行在 Java 平臺(tái)上，依賴 Java 虛擬機(jī)（JVM）；C# 則是 Microsoft .NET 平臺(tái)的主要語言，該平臺(tái)使用通用語言運(yùn)行時(shí)（CLR）。

程序的執(zhí)行完全由虛擬機(jī)的規(guī)范所定義。然而，它們通常配有垃圾回收器，可能會(huì)引入非確定性。盡管也存在具備搶占式、確定性垃圾回收器的實(shí)時(shí) Java 平臺(tái)，程序仍可能出現(xiàn)缺陷和安全問題。因此，我們建議遵循 Java 的 CERT 編碼規(guī)范，參考CWE 提供的漏洞列表，以及 OWASP 針對(duì)這兩大平臺(tái)提供的安全速查指南。

Google 指定 Kotlin 作為 Android 移動(dòng)平臺(tái)的主要編程語言（此前為 Java）。Android 提供了成熟的原生開發(fā)套件（NDK），支持 C 和 C++，并于 2021 年新增 Rust 作為選項(xiàng)。

Java 適用于常見的桌面和服務(wù)器平臺(tái)；.NET 則主要在 Windows 上獲得良好支持。

在集成方面，平臺(tái)支持不同的實(shí)現(xiàn)方式。JDK提供了常規(guī)的集成模式：平臺(tái)為本機(jī)編程語言提供C語言API（jni.h），使原生代碼能夠與Java虛擬機(jī)交互。.NET 框架同樣支持此類集成。但.NET 更進(jìn)一步：它還為多種語言提供編譯器，其組件可以直接在源代碼層面交互。需要注意的是，不同的語言之間可能存在細(xì)微的語義差異。例如 Java 與 Kotlin 雖然都能在 Java虛擬機(jī)中直接交互，但 Kotlin 在空值安全方面比Java更強(qiáng)，這類差異必須加以考慮。

最后，.NET 框架還支持與 COM 組件庫的互操作，而 Python.NET 則實(shí)現(xiàn)了 Python 與所有 .NET 語言之間的互操作。

解釋型語言（Interpreted Languages）

剩余的兩種語言——Python 和 JavaScript，屬于解釋型語言。解釋器逐行讀取程序并執(zhí)行指令，這使得它們成為確定性最低、最不適用于實(shí)時(shí)系統(tǒng)的語言。

Python

Python 是一種流行的腳本語言，運(yùn)行速度較慢但易于編寫。它常被用作“粘合劑”，用于連接由原生語言編寫的高性能組件。這種集成屬于系統(tǒng)級(jí)集成，即通過系統(tǒng)調(diào)用來執(zhí)行可執(zhí)行的程序。在語言層面，Python 提供了 C語言 API，來編寫運(yùn)行在Python解釋器中并與之交互的 C 代碼。Python 的流行，部分源于它擁有大量高效的的第三方包（庫），這些包可利用原生代碼處理XML解析等常見任務(wù)。

JavaScript

JavaScript 是用于定義網(wǎng)頁行為的語言。目前，某些車載信息娛樂系統(tǒng)（IVI）正是以 Web 應(yīng)用的形式實(shí)現(xiàn)，并使用 JavaScript。ECMA 負(fù)責(zé)維護(hù) ECMAScript 標(biāo)準(zhǔn)，但實(shí)際中存在眾多的語言變體和擴(kuò)展。由于JavaScript 的版本、框架和運(yùn)行環(huán)境種類繁多，必須充分理解操作環(huán)境，才能有效應(yīng)用 CWE 和 OWASP 提供的指導(dǎo)建議。

在瀏覽器的互操作性方面，WebAssembly 能夠?qū)⒍喾N編程語言編譯為可在網(wǎng)頁瀏覽器中高效執(zhí)行的目標(biāo)代碼。

對(duì)比分析

下表匯總了上文的所述內(nèi)容，分別從 ISO/SAE 21434 和 ISO 25010 角度評(píng)估各語言的適用性。

ISO/SAE 21434 適用性：

ISO 25010 適用性：

如何確定適用于汽車網(wǎng)絡(luò)安全的編程語言

語言的適用性取決于項(xiàng)目的安全完整性等級(jí)（SIL）。對(duì)于安全關(guān)鍵型項(xiàng)目，可能需要采用經(jīng)過認(rèn)證的工具鏈，這將會(huì)大幅縮小可選范圍。

• 在硬件資源有限且實(shí)時(shí)性要求嚴(yán)格的環(huán)境中，C語言仍是簡(jiǎn)單應(yīng)用的理想選擇。
• C++ 在復(fù)雜的分層框架中更為適用，例如 AUTOSAR 自適應(yīng)平臺(tái)，其 API 以 C++ 進(jìn)行定義。
• Java 適用于Android等 Java 框架內(nèi)部，或在采用實(shí)時(shí) JVM 的實(shí)時(shí)環(huán)境中。Kotlin 同樣適用于 Android 開發(fā)，但其穩(wěn)定性略遜于 Java，實(shí)時(shí)支持也較弱；不過，它在車載信息娛樂系統(tǒng)（IVI）中與 JavaScript 的集成表現(xiàn)更佳。
• C# 適用于 .NET 平臺(tái)，但該平臺(tái)目前并未應(yīng)用于汽車領(lǐng)域。
• Python 僅適用于少數(shù)特定場(chǎng)景，且通常存在更合適的替代方案。
• JavaScript 對(duì)于基于 Web 的車載信息娛樂系統(tǒng)（IVI）用戶界面至關(guān)重要。
• Rust 提供更強(qiáng)的安全保障，并且隨著新興指導(dǎo)和認(rèn)證工具鏈的出現(xiàn)，越來越受歡迎。

隨著汽車行業(yè)的持續(xù)發(fā)展，我們的工具和實(shí)踐也必須同步升級(jí)。編程語言的選擇不僅是一項(xiàng)技術(shù)決策，更是一項(xiàng)戰(zhàn)略決策，直接影響系統(tǒng)的安全性、網(wǎng)絡(luò)安全性和長期可維護(hù)性。

利用 Perforce 靜態(tài)分析工具提升汽車網(wǎng)絡(luò)安全（支持C、C++、C#、Python、Java、JavaScript 和 Kotlin）

在汽車網(wǎng)絡(luò)安全領(lǐng)域，選擇合適的靜態(tài)分析工具與選擇合適的編程語言同樣重要。

Perforce靜態(tài)分析工具 QAC和Klocwork能夠在開發(fā)者編寫代碼的同時(shí)，及時(shí)檢測(cè)網(wǎng)絡(luò)安全漏洞，從而持續(xù)保障軟件質(zhì)量。

Perforce QAC 與 Klocwork 還能強(qiáng)制執(zhí)行 ISO/SAE 21434 等安全標(biāo)準(zhǔn)，并對(duì) MISRA 等安全關(guān)鍵型編碼規(guī)范中的違規(guī)行為進(jìn)行標(biāo)記。

Perforce中國授權(quán)合作伙伴——龍智