挑战

随着互联世界的扩展，高性能计算 （HPC） 的技术进步正在重塑片上系统 （SoC） 设计，以满足对更高加速、更大存储容量、新计算架构和更高带宽的需求，从而加快数据移动速度。PCIe/CXL/DDR 等高带宽接口正在激增，并且其速度一代又一代地不断提高。与此同时，数据和系统的安全性至关重要，这是由多种因素驱动的，包括机密和敏感信息的显著增长、法律、法规和标准的发展。

• PCI Express 是一个无处不在的接口，适用于各种应用，从连接加速器和外围设备到数据中心服务器，PCI-SIG IDE（完整性和数据加密）规范为 PCIe 设备添加了可选功能，用于对通过 PCIe 链路传输的数据包执行硬件加密和完整性检查。
• CXL（Compute Express Link）接口协议支持片上系统（SoC）与通用加速器、内存扩展器以及需要高性能异构计算数据密集型工作负载的智能 I/O 设备之间的低延迟数据通信。CXL定义的 IDE 规范要求在cache 和 CXL.mem 协议的情况下为流控制单元 （FLIT） 提供机密性、完整性和重放保护，在 CXL.io 的情况下为 FLIT 和事务层数据包 （TLP） 提供机密性、完整性和重放保护。
• 在NVMe SSD中，通过启用IEEE1667 Silo特性，可以创建和管理一个或多个安全存储区域，这些区域内的数据受到加密保护，只能通过正确的身份验证和密钥管理流程才能访问‌。IEEE1667是一项为便携式计算机和移动存储设备定义的安全标准，提供了一套加密和安全协议，确保存储在设备上的数据受到保护，防止未经授权的访问和泄露。
• DDR 等高带宽接口正在激增，并且其速度一代又一代地不断提高，要求内存接口为使用中或存储在片外内存中的数据提供机密性，确保数据和系统的安全性。

Gartner 预测，到 2025 年底，编写的所有新代码中将有一半以上由 AI 生成。组织需要利用这种提高生产力的技术，而不必担心引入新风险。随着 AI 系统在各行各业变得越来越重要，确保其安全性和完整性比以往任何时候都更加重要和具有挑战性。GitHub Copilot 和 ChatGPT 等 AI 编码助手为开发人员带来了游戏规则改变者，帮助他们以前所未有的速度创新和交付软件。

AI 编码助手可以发挥软件中最好和最坏的一面。AI 编码助手现在大量嵌入到开发人员工作流程中，既可以作为插件，也可以通过流行的 IDE 和 CI 平台中的 API 进行。利用在数千个开源项目和数百万行公开可用的源代码上训练的大型语言模型 （LLM），AI 代码生成器还引用了大量薄弱、易受攻击且在法律上存在风险的代码片段。

通过对 AI 代码生成器的简单提示，开发人员可能会无意中将第三方代码的问题转化为代码的问题。

• 缺陷和漏洞：大多数 AI 编码工具无法检测其训练代码中的安全或质量问题。此外，由于开发人员专注于速度，他们通常会忽略常见的弱点，或者不知道 AI 生成的代码中声明的易受攻击的组件。
• 版权和许可风险：AI 代码生成器可以生成与许可开源项目中的代码完全相同的代码。发生这种情况时，您可能会受到潜在的 IP 侵权或使用要求的约束。开发人员通常无法提供帮助，因为缺乏法律专业知识或对这些 AI 生成的代码片段的来源的了解。

算力与存储领域行业规范

• 《中华人民共和国网络安全法》，第二十一条规定了网络运营者的安全保护义务，包括制定内部安全管理制度、采取技术措施防范网络攻击等，这些义务同样适用于物联网的运营者。
• 《中华人民共和国国家安全法》第二十五条明确规定国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，这包括物联网的安全保障。
• 2018年5月25日联盟出台《通用数据保护条例》GDPR（General Data Protection Regulation），任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。
• 从2025年8月1日起，欧盟CE RED指令的网络安全要求将强制执行。这些要求包括：
  • 网络安全防护‌：设备需具备抗攻击能力，防止网络资源滥用或服务中断，如抵御DDoS攻击；采用符合SOG-IS标准的加密套件，密钥长度≥112位‌3。
  • ‌隐私数据保护‌：敏感数据需加密存储，防止泄露；实施多层级访问认证，限制未授权操作‌3。
  • ‌防欺诈与金融安全‌：支付安全机制需防范加密劫持、生物识别篡改等风险；固件需支持加密签名和防回滚设计，确保漏洞及时修复‌
• 欧盟《网络弹性法案》（CRA）已于2024年12月23日生效，
  • 要求制造商对产品全生命周期进行强制性网络安全风险评估，并确保所有第三方组件（包括开源软件）的安全性
  • 要求制造商对第三方组件的安全性承担最终责任。
  • 违反CRA可能导致最高1500万欧元或全球营业额5%的罚款；若涉及误导性信息，罚款可达500万欧元。

 

芯片安全方案

从芯片安全架构的源头制定”from Silicon to Software“的闭环安全与合规机制

我们提供全面的高度集成和符合认证要求的DesignHub™安全 IP 解决方案产品组合，旨在应对不断变化的网络威胁、时间和成本限制以及合规性。基于我们原创的CryptCompiler®密码编译器工具平台，生成高度可配置且可靠的安全IP包括具有信任根的硬件安全模块、CryptRoT™ PUF、接口安全模块、密码算法以及AI/HPC、移动、汽车、物联网以及航空航天和政府市场的安全协议加速器。这些解决方案可确保机密性、数据完整性、身份验证和授权，从而提供保护，防止盗窃、篡改、侧信道攻击、恶意软件和数据泄露等威胁。

CryptHPC™的内联内存加密（IME）安全模块通过内存接口为使用中或存储在片外内存中的数据提供机密性。IME 安全模块可扩展以匹配各种内存接口带宽，支持基于 AES-XTS 加密算法的写入和读取通道。

CryptHPC™的完整性和数据加密 （IDE） 安全 IP 模块提供机密性、完整性和重放保护，防止硬件级攻击。IDE 为 PCIe 设备添加了可选功能，用于对通过 PCIe 链路传输的数据包执行硬件加密和完整性检查。

CryptRoT™是基于物理不可克隆功能 （PUF） 技术的嵌入式系统安全 IP，通过利用每个硅芯片的固有独特性，提供了更高级别的硬件安全性；从 PUF 中提取的标识符无法克隆、猜测、窃取或共享，并且密钥不会保留在系统上，从而提供最高级别的保护。

 

应用安全方案

消除对AI代码生成器的隐式信任，这些生成器缺乏安全风险意识和软件许可证理解能力。我们的解决方案允许开发人员自由地使用 AI 编码助手运行，同时建立反映 AppSec 团队需求和标准的自动化安全网——所有这些都是 DevSecOps 闭环系统的一部分。在将 AI 编码助手提交到您的代码库之前，请确保其输出是安全的、高质量的，并且符合您的风险承受标准

Coverity和BlackDuck SCA在 IDE、SCM 存储库和 CI/CD 管道中提供强大的 SAST 和 SCA 功能，为开发人员提供明确的修复指导，并提供基于工作流触发器和策略的自动扫描和问题管理工作流。

AI 编码助手或您自己的开发人员可能会整合来自受版权保护的开源项目的较小代码部分。代码片段分析是保护项目的最佳方式，即使开发人员缺乏法律专业知识也是如此。

BlackDuck SCA管理开源和AI生成代码的IP风险，识别第三方代码片段和相关的许可义务，保护知识产权并使企业免受代价高昂的诉讼，来自 IDE、SCM 存储库或 CI/CD 管道的触发器分析。对于识别出的每个开源依赖项，Black Duck SCA 都会显示正在使用的确切许可证。这包括显式声明的许可证、子许可证和嵌入式许可证。