《電子技術應用》
您所在的位置:首頁 > 模擬設計 > 業(yè)界動態(tài) > 軟件供應鏈安全是推動網(wǎng)聯(lián)汽車產(chǎn)業(yè)穩(wěn)定發(fā)展的驅動力

軟件供應鏈安全是推動網(wǎng)聯(lián)汽車產(chǎn)業(yè)穩(wěn)定發(fā)展的驅動力

2022-09-17
來源:新思科技

網(wǎng)聯(lián)汽車是汽車產(chǎn)業(yè)的變革趨勢,,軟件與汽車行業(yè)深度融合,,重塑產(chǎn)業(yè)格局。新思科技指出,,以前,,軟件只是汽車的一小部分;現(xiàn)在,,軟件的可信性,、可靠性、安全性很大程度決定了汽車的價值,。

新思科技(Synopsys)應邀參加2022世界智能網(wǎng)聯(lián)汽車大會(WICV 2022),,并在9月17日舉辦的“產(chǎn)業(yè)鏈價值鏈提升”主題峰會上發(fā)表演講,聚焦網(wǎng)聯(lián)汽車軟件供應鏈安全,,探討如何提升軟件供應鏈韌性,,助推智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質量發(fā)展。

WICV 2022于9月16日至19日在北京舉行,。大會由北京市人民政府,、工業(yè)和信息化部、公安部,、交通運輸部和中國科學技術協(xié)會主辦,,全力打造全球范圍規(guī)模大、級別高,、影響力強的交流平臺,,為世界智能網(wǎng)聯(lián)汽車發(fā)展提供中國方案。WICV 2022主題為“智能加速度,,網(wǎng)聯(lián)新生態(tài)”,。

新思科技首席汽車安全策略師Dennis Kengo Oka博士以《網(wǎng)聯(lián)汽車軟件供應鏈安全》為主題,分享了在“軟件定義汽車”時代,,網(wǎng)聯(lián)汽車相關的安全風險以及業(yè)界應如何應對安全挑戰(zhàn),。新思科技期望與業(yè)界共同重塑產(chǎn)業(yè)供應鏈軟件安全體系,,構建網(wǎng)聯(lián)汽車新生態(tài)。

Dennis Kengo Oka博士介紹到:“隨著軟件的大量應用,,網(wǎng)聯(lián)汽車生態(tài)系統(tǒng)成為可能,。過去,一輛汽車包含一億行代碼,,不久的未來將達到10億行代碼,。軟件開發(fā)方式也日新月異。現(xiàn)在,,采用DevSecOps逐步成為趨勢,,保持開發(fā)速度的同時,能夠在開發(fā)流程的早期發(fā)現(xiàn)漏洞以降低成本,。而且,,車企也在使用靜態(tài)代碼分析、軟件組成分析,、模糊測試,、動態(tài)應用安全測試等各種工具實現(xiàn)大批量測試自動化。汽車‘新四化’包括電動化,、網(wǎng)聯(lián)化,、智能化、共享化,,賦予了汽車產(chǎn)業(yè)發(fā)展的無限可能,。與此同時,安全無小事,,尤其是網(wǎng)聯(lián)汽車產(chǎn)業(yè)軟件供應鏈復雜,,潛在威脅和攻擊面也在增加?!?/p>

業(yè)界需要了解與網(wǎng)聯(lián)汽車相關的安全風險:

首先,,需要整體了解網(wǎng)聯(lián)汽車生態(tài)系統(tǒng)。網(wǎng)聯(lián)汽車有很多界面,,包括多個網(wǎng)關和外設,,例如遠程通信控制單元(TCU)和車載信息娛樂系統(tǒng)(IVI)。這些設備與互聯(lián)平臺進行通信,,比如后端服務,、云服務、移動設備和應用等,。因此,,不法分子可以針對外設進行直接攻擊,或者通過系統(tǒng)漏洞進行間接攻擊。

再者,,軟件數(shù)量的爆炸式增長,,意味著需要治理的軟件增多,包括自研軟件,、第三方軟件或者開源軟件,。另外,車企還需要考慮供應鏈,。一家公司不可能獨立開發(fā)所有的軟件,,會使用到供應鏈中不同方開發(fā)的軟件,。

還有,,合規(guī)性也不容忽視。智能網(wǎng)聯(lián)汽車和自動駕駛汽車領域已經(jīng)出臺或者正在制定相關法律法規(guī)及行業(yè)標準,,以保護人身安全和隱私數(shù)據(jù),,包括ISO/SAE 21434,還有OpenChain項目汽車工作組發(fā)布的ISO 5230標準等,。這些標準定義了汽車電子電氣系統(tǒng)的網(wǎng)絡安全風險管理要求,,面向開源軟件許可證提出了要求。車企,,尤其是那些開拓海外市場的汽車制造商,,不僅需要克服技術挑戰(zhàn),管理軟件開發(fā)生命周期和供應鏈中的風險,,還要確保軟件符合客戶及監(jiān)管機構的重要國際標準,。中國也已完成第一階段智能網(wǎng)聯(lián)汽車標準體系的建設,未來將新增100余項智能網(wǎng)聯(lián)汽車的標準,。

新思科技建議智能網(wǎng)聯(lián)車企至少需要做到以下三點,,以應對軟件供應鏈挑戰(zhàn)

提升軟件透明度。汽車制造業(yè)會創(chuàng)建物料清單,,記錄各種原料,、零部件等詳細細節(jié)。軟件物料清單 (SBOM)對于軟件安全治理來說也是不可或缺的,,可以記錄用于構建軟件的各種組件的詳細信息和供應鏈關系等,,提升軟件透明度。SBOM有多種格式,,包括SPDX,、SWID和CycloneDX等。業(yè)界對SBOM的關注度與日俱增,,美國國家電信與信息管理局在2021年發(fā)布文件,,規(guī)定了軟件材料清單最少包括哪些要素。

落實軟件供應鏈各方職責。軟件已經(jīng)深度參與到汽車的定義,、開發(fā),、驗證、服務等過程中,。很常見的一個場景是,,供應鏈二級供應商為一級供應商提供軟件,一級供應商將軟件集成到系統(tǒng)應用,,然后將其提供給原始設備制造商,。整個供應鏈環(huán)環(huán)相扣,明確各方的職責可以減少疏漏,,比如規(guī)定須由哪方進行威脅分析和風險評估(TARA)等,。

信任,但要核查,。當車企考慮如何處理軟件供應鏈風險時,,可以選擇兩種做法,尤其是供應商只提供二進制文件的情況下:完全相信供應商所說的二進制文件中實際包含的內(nèi)容,;可以運行軟件組成分析工具,,例如新思科技Black Duck軟件組成分析,并進行二進制掃描以識別包含的組件,。

新思科技中國區(qū)軟件應用安全業(yè)務總監(jiān)楊國梁總結道:“中國正在促進智能網(wǎng)聯(lián)汽車與相關行業(yè)融合發(fā)展,,以滿足建設汽車強國的需要。在未來行業(yè)競爭中,,智能網(wǎng)聯(lián)汽車安全將是企業(yè)重要的核心競爭力,,尤其是軟件安全,因為‘軟件定義汽車’已經(jīng)成為業(yè)界共識,。軟件安全會成為影響消費者決策的重要因素,,也是推動產(chǎn)業(yè)長久、穩(wěn)定發(fā)展的驅動力,。當然,,這不是任何一家車企、供應商或者科技公司可以單獨完成的,;而是需要建立完善的流程和機制,,采用可靠的工具,才能提產(chǎn)業(yè)鏈供應鏈的韌性,,進而為網(wǎng)聯(lián)汽車構筑安全底座,。”



更多信息可以來這里獲取==>>電子技術應用-AET<<

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章、圖片,、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容,、版權和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。