飛象網訊 中國正在推動新技術與交通行業深度融合,穩妥發展智能網聯車產業。軟件供應鏈、車機端本地服務以及云服務、移動應用等,任何一個環節存在缺陷或者漏洞,都可能會影響用戶的安全。整個產業鏈需要從底層安全架構、從平臺自身安全開始規劃車聯網安全。更重要的是,有標準可依才能確保整個產業正在朝著一個正確、高質的發展方向邁進。
新思科技(Synopsys)應邀參加第十屆互聯網安全大會(ISC 2022),并在8月1日舉辦的車聯網安全創新發展論壇發表主題演講,聚焦車聯網軟件安全,探討如何推動智能網聯車產業革新。
ISC 2022于7月30日至8月2日在北京舉行。大會由中國互聯網協會、中國網絡空間安全協會、中國信息通信研究院、中國中小企業協會、中國企業聯合會、全國工商聯大數據運維(網絡安全)委員會、中國通信企業協會、中國軟件行業協會、中國企業家協會和360互聯網安全中心共同主辦,是亞太地區乃至全球規格高、輻射廣、影響力深遠的安全峰會。ISC 2022主題為“護航數字文明,開創數字安全新時代”。
新思科技高級安全架構師許焱以《軟件定義汽車時代的安全合規測試之道》為主題,分享了軟件定義汽車的趨勢以及安全合規測試方案與實踐等洞察,期望與業界共同推動產業革新,筑牢車聯網安全屏障。
許焱指出:“軟件能力、用戶體驗等將成為未來車企的核心競爭力之一。軟件能力越強、越安全,智能車企的收入占比預計越高。因此,在智能網聯汽車中構建軟件可靠性及安全性至關重要。在編碼、測試和開源使用環節出現缺陷和漏洞是當下汽車軟件出現安全問題的主要原因。車聯網產業需要加強在軟件開發生命周期(SDLC)的每個階段和整個軟件供應鏈中的軟件安全狀況!
無規矩不成方圓。有相應的法律法規和標準制定,一個產業的發展才能行穩致遠。智能網聯車是人工智能與傳統產業的結合,中國已將其列為“十四五”規劃制造業核心競爭力提升項目,并在3月份正式出臺了《車聯網網絡安全和數據安全標準體系建設指南》,正在加快開展智能網聯汽車準入管理試點。在全球范圍內,很多重要的國際行業法規也已陸續頒發,例如ISO/SAE 21434《道路車輛-網路安全工程》(Road vehicles – Cybersecurity engineering)。ISO/SAE 21434為車輛產品的全生命周期,定義了一個網絡安全流程要求以及網絡安全風險管理的框架。
新思科技認為要滿足ISO/SAE 21434標準要求,智能車企至少需要做到以下五點:
1. 威脅分析與風險評估 (TARA, Threat Analysis and Risk Assessment)。通過影響和攻擊可行性等級的組合,來評估風險以及威脅;
2. 靜態代碼分析。幫助開發和安全團隊在SDLC早期解決安全和質量缺陷,跟蹤和管理整個應用組合的風險,并確保符合安全和編碼標準;
3. 開源軟件管理。《2022年開源安全和風險分析》報告(OSSRA)顯示在航空航天、汽車、運輸和物流行業被掃描的代碼庫中使用開源的比例高達97%。智能車企需要管理在應用和容器中使用開源和第三方代碼所帶來的安全、質量和許可證合規性風險;
4. 內部安全測試。企業需要為開發人員、測試團隊、安全團隊使用自動化的工具,比如漏洞掃描工具、模糊測試工具等,并充分使用這些工具;
5. 滲透測試。在研發比較后期執行,進行試探性風險分析和業務邏輯測試,以識別業務重大漏洞,降低信息泄露風險。
此外,新思科技一直強調安全是一個過程,而不是一個產品。對于網絡安全領域來說,挑戰來源于不斷演進變化的威脅。企業的安全團隊需要一個持續改進的工作驅動模式。一直以來,新思科技支持企業管理應用安全,進而構建可信的軟件。軟件安全構建成熟度模型(BSIMM, the Building Security In Maturity Model)是業界最佳安全實踐模型之一,由新思科技(Synopsys)和BSIMM社區自2008年起合作開發。智能車企可以基于真實數據,衡量及創建產品相關的安全活動。除了BSIMM評估,新思科技還提供覆蓋軟件開發生命周期的安全測試解決方案,包括Coverity靜態應用安全測試以及Black Duck軟件組成分析。
新思科技中國區軟件應用安全技術總監楊國梁總結道:“中國正在推動各類新興產業融合發展,其中智能網聯汽車正成為新一輪新興產業發展變革的關鍵著力點。‘智能’和‘安全’需要始終并行。依賴安全可信的軟件,車聯網才能走得更穩、更遠。傳統產業需要進一步革新,著力構建可信的安全生態,護航車聯網產業的高質量發展。當然,車聯網安全的建設除了政策等方面的支持外,更離不開軟件安全公司的助力。新思科技將持續助力汽車制造商、車聯網產業鏈相關企業,更有效地應對汽車安全及合規新挑戰,解決數字化轉型中遇到的軟件安全難題,為智能網聯車牢牢系好‘安全帶’!