当前位置:首页 > 汽车

新思科技探讨“软件定义汽车”时代下的供应链安全

2022-09-19 11:01:00作者:叶知秋来源:网络  阅读量:5351

智能网联汽车产业发展的关键在于质量、安全、速度、效率等多方面的统一来推动全产业链的发展。在“软件定义汽车”时代,只有构建可信软件,保证软件供应链的安全性,才能提高产业链供应链的韧性。

新技术受邀参加2022世界智能网联汽车大会(WICV 2022),并在9月17日举行的“产业链与价值链提升”主题峰会上发表演讲,聚焦网联汽车软件供应链安全,探讨如何提升软件供应链弹性,助推智能网联汽车产业高质量发展。

WICV 2022于9月16日至19日在北京举行。大会由北京市人民政府、工业和信息化部、公安部、交通运输部、中国科学技术协会主办,全力打造全球范围内大规模、高水平、有影响力的交流平台,为全球智能网联汽车发展提供中国方案。WICV 2022的主题是“智能加速,联网新生态”。

新技术首席汽车安全策略师Dennis Kengo Oka博士以网联汽车软件供应链安全为主题,分享了与网联汽车相关的安全风险,以及行业应如何应对“软件定义汽车”时代的安全挑战。新科技期待与业界一起重塑产业供应链软件安全体系,构建网联汽车新生态。

Dennis Kengo Oka博士,新技术首席汽车安全策略师

Dennis Kengo Oka博士介绍道:“随着软件的广泛应用,汽车生态系统的网络化成为可能。过去一辆车包含1亿行代码,不久的将来将达到10亿行代码。软件开发方法日新月异。现在DevSecOps逐渐成为一种趋势,可以保持开发速度,在开发过程的前期发现漏洞,以降低成本。而且车企也在利用静态代码分析、软件组成分析、模糊测试、动态应用安全测试等工具,实现批量测试自动化。汽车的‘新四化’包括电动化、网联化、智能化、共享化,这赋予了汽车产业无限的可能性。同时,安全无小事,尤其是网络化汽车行业软件供应链复杂,潜在威胁和攻击面也在增加。”

行业需要了解与联网汽车相关的安全风险:

首先,我们需要从整体上了解网联汽车生态系统。网联汽车有很多接口,包括多个网关和外设,比如远程通信控制单元和车载信息娱乐系统(IVI)。这些设备与互联平台进行通信,如后端服务、云服务、移动设备和应用程序。所以不法分子可以通过系统漏洞直接或间接攻击外设。

再者,软件的爆炸式增长意味着需要管理更多的软件,包括自研软件、第三方软件或者开源软件。此外,车企还需要考虑供应链。一个公司不可能独立开发所有的软件,但它会使用供应链中不同方开发的软件。

此外,合规性也不容忽视。智能网联汽车和自动驾驶汽车领域已经出台或正在制定保护人身安全和隐私数据的相关法律法规和行业标准,包括OpenChain项目汽车工作组发布的ISO/SAE 21434和ISO 5230标准。这些标准定义了汽车电子电气系统的网络安全风险管理要求,并对开源软件许可提出了要求。企业,尤其是那些开拓海外市场的汽车制造商,不仅需要克服技术挑战,管理软件开发生命周期和供应链中的风险,还需要确保软件符合客户和监管机构的重要国际标准。我国也完成了第一阶段智能网联汽车标准体系建设,未来还将增加100多项智能网联汽车标准。

新技术建议,智能网联汽车公司至少应该做好以下三件事,以应对软件供应链的挑战:

1.提高软件的透明度。汽车制造业会创建物料清单,记录各种原材料、零部件等细节。软件物料清单对于软件安全管理也是不可或缺的。它可以记录用于构建软件的各种组件的详细信息和供应链关系,提高软件的透明度。SBOM有很多格式,包括SPDX,SWID,CycloneDX等。业界越来越关注SBOM。2021年,美国国家电信和信息管理局发布文件,规定了软件材料清单中包含的最少元素。

2.落实软件供应链中各方的责任。软件已经深入到汽车定义、开发、验证和服务的过程中。常见的场景是,供应链的二级供应商向一级供应商提供软件,一级供应商将软件集成到系统应用中,然后提供给原设备制造商。整个供应链环环相扣,明确各方责任可以减少疏漏,比如指定哪一方应该进行威胁分析和风险评估。

3.信任,但检查。车企在考虑如何应对软件供应链的风险时,可以选择两种方式,尤其是供应商只提供二进制文件的情况下:完全相信供应商所说的二进制文件中实际包含的内容;可以运行软件组成分析工具,比如新思科技黑鸭软件组成分析,进行二进制扫描,识别包含的组件。

新技术中国软件应用安全业务总监杨国梁总结道:“中国正在推动智能网联汽车及相关产业的融合发展,以适应建设汽车强国的需要。在未来的行业竞争中,智能网联汽车安全将是企业重要的核心竞争力,尤其是软件安全,因为‘软件定义汽车’已经成为业界的共识。软件安全性将成为影响消费者决策的重要因素,也是推动行业长期稳定发展的动力。当然,这不是任何一家车企、供应商、科技公司可以单独完成的事情;而是需要建立完善的流程和机制,采用可靠的工具,提高产业链供应链的应变能力,进而为网联汽车构建安全的基地。"

VMI843