飛象網(wǎng)訊 中國正在推動新技術與交通行業(yè)深度融合，穩(wěn)妥發(fā)展智能網(wǎng)聯(lián)車產(chǎn)業(yè)。軟件供應鏈、車機端本地服務以及云服務、移動應用等，任何一個環(huán)節(jié)存在缺陷或者漏洞，都可能會影響用戶的安全。整個產(chǎn)業(yè)鏈需要從底層安全架構(gòu)、從平臺自身安全開始規(guī)劃車聯(lián)網(wǎng)安全。更重要的是，有標準可依才能確保整個產(chǎn)業(yè)正在朝著一個正確、高質(zhì)的發(fā)展方向邁進。

新思科技(Synopsys)應邀參加第十屆互聯(lián)網(wǎng)安全大會(ISC 2022)，并在8月1日舉辦的車聯(lián)網(wǎng)安全創(chuàng)新發(fā)展論壇發(fā)表主題演講，聚焦車聯(lián)網(wǎng)軟件安全，探討如何推動智能網(wǎng)聯(lián)車產(chǎn)業(yè)革新。

ISC 2022于7月30日至8月2日在北京舉行。大會由中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡空間安全協(xié)會、中國信息通信研究院、中國中小企業(yè)協(xié)會、中國企業(yè)聯(lián)合會、全國工商聯(lián)大數(shù)據(jù)運維（網(wǎng)絡安全）委員會、中國通信企業(yè)協(xié)會、中國軟件行業(yè)協(xié)會、中國企業(yè)家協(xié)會和360互聯(lián)網(wǎng)安全中心共同主辦，是亞太地區(qū)乃至全球規(guī)格高、輻射廣、影響力深遠的安全峰會。ISC 2022主題為“護航數(shù)字文明，開創(chuàng)數(shù)字安全新時代”。

新思科技高級安全架構(gòu)師許焱以《軟件定義汽車時代的安全合規(guī)測試之道》為主題，分享了軟件定義汽車的趨勢以及安全合規(guī)測試方案與實踐等洞察，期望與業(yè)界共同推動產(chǎn)業(yè)革新，筑牢車聯(lián)網(wǎng)安全屏障。

許焱指出：“軟件能力、用戶體驗等將成為未來車企的核心競爭力之一。軟件能力越強、越安全，智能車企的收入占比預計越高。因此，在智能網(wǎng)聯(lián)汽車中構(gòu)建軟件可靠性及安全性至關重要。在編碼、測試和開源使用環(huán)節(jié)出現(xiàn)缺陷和漏洞是當下汽車軟件出現(xiàn)安全問題的主要原因。車聯(lián)網(wǎng)產(chǎn)業(yè)需要加強在軟件開發(fā)生命周期(SDLC)的每個階段和整個軟件供應鏈中的軟件安全狀況。”

無規(guī)矩不成方圓。有相應的法律法規(guī)和標準制定，一個產(chǎn)業(yè)的發(fā)展才能行穩(wěn)致遠。智能網(wǎng)聯(lián)車是人工智能與傳統(tǒng)產(chǎn)業(yè)的結(jié)合，中國已將其列為“十四五”規(guī)劃制造業(yè)核心競爭力提升項目，并在3月份正式出臺了《車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全標準體系建設指南》，正在加快開展智能網(wǎng)聯(lián)汽車準入管理試點。在全球范圍內(nèi)，很多重要的國際行業(yè)法規(guī)也已陸續(xù)頒發(fā)，例如ISO/SAE 21434《道路車輛－網(wǎng)路安全工程》(Road vehicles – Cybersecurity engineering)。ISO/SAE 21434為車輛產(chǎn)品的全生命周期，定義了一個網(wǎng)絡安全流程要求以及網(wǎng)絡安全風險管理的框架。

新思科技認為要滿足ISO/SAE 21434標準要求，智能車企至少需要做到以下五點：

1. 威脅分析與風險評估 (TARA, Threat Analysis and Risk Assessment)。通過影響和攻擊可行性等級的組合，來評估風險以及威脅；

2. 靜態(tài)代碼分析。幫助開發(fā)和安全團隊在SDLC早期解決安全和質(zhì)量缺陷，跟蹤和管理整個應用組合的風險，并確保符合安全和編碼標準；  

3. 開源軟件管理。《2022年開源安全和風險分析》報告（OSSRA）顯示在航空航天、汽車、運輸和物流行業(yè)被掃描的代碼庫中使用開源的比例高達97%。智能車企需要管理在應用和容器中使用開源和第三方代碼所帶來的安全、質(zhì)量和許可證合規(guī)性風險；

4. 內(nèi)部安全測試。企業(yè)需要為開發(fā)人員、測試團隊、安全團隊使用自動化的工具，比如漏洞掃描工具、模糊測試工具等，并充分使用這些工具；

5. 滲透測試。在研發(fā)比較后期執(zhí)行，進行試探性風險分析和業(yè)務邏輯測試，以識別業(yè)務重大漏洞，降低信息泄露風險。

此外，新思科技一直強調(diào)安全是一個過程，而不是一個產(chǎn)品。對于網(wǎng)絡安全領域來說，挑戰(zhàn)來源于不斷演進變化的威脅。企業(yè)的安全團隊需要一個持續(xù)改進的工作驅(qū)動模式。一直以來，新思科技支持企業(yè)管理應用安全，進而構(gòu)建可信的軟件。軟件安全構(gòu)建成熟度模型（BSIMM, the Building Security In Maturity Model）是業(yè)界最佳安全實踐模型之一，由新思科技(Synopsys)和BSIMM社區(qū)自2008年起合作開發(fā)。智能車企可以基于真實數(shù)據(jù)，衡量及創(chuàng)建產(chǎn)品相關的安全活動。除了BSIMM評估，新思科技還提供覆蓋軟件開發(fā)生命周期的安全測試解決方案，包括Coverity靜態(tài)應用安全測試以及Black Duck軟件組成分析。

新思科技中國區(qū)軟件應用安全技術總監(jiān)楊國梁總結(jié)道：“中國正在推動各類新興產(chǎn)業(yè)融合發(fā)展，其中智能網(wǎng)聯(lián)汽車正成為新一輪新興產(chǎn)業(yè)發(fā)展變革的關鍵著力點。‘智能’和‘安全’需要始終并行。依賴安全可信的軟件，車聯(lián)網(wǎng)才能走得更穩(wěn)、更遠。傳統(tǒng)產(chǎn)業(yè)需要進一步革新，著力構(gòu)建可信的安全生態(tài)，護航車聯(lián)網(wǎng)產(chǎn)業(yè)的高質(zhì)量發(fā)展。當然，車聯(lián)網(wǎng)安全的建設除了政策等方面的支持外，更離不開軟件安全公司的助力。新思科技將持續(xù)助力汽車制造商、車聯(lián)網(wǎng)產(chǎn)業(yè)鏈相關企業(yè)，更有效地應對汽車安全及合規(guī)新挑戰(zhàn)，解決數(shù)字化轉(zhuǎn)型中遇到的軟件安全難題，為智能網(wǎng)聯(lián)車牢牢系好‘安全帶’。”