網(wǎng)聯(lián)汽車是汽車產(chǎn)業(yè)的變革趨勢(shì),，軟件與汽車行業(yè)深度融合,，重塑產(chǎn)業(yè)格局,。新思科技指出，以前,，軟件只是汽車的一小部分,；現(xiàn)在，軟件的可信性,、可靠性,、安全性很大程度決定了汽車的價(jià)值。

新思科技(Synopsys)應(yīng)邀參加2022世界智能網(wǎng)聯(lián)汽車大會(huì)(WICV 2022),，并在9月17日舉辦的“產(chǎn)業(yè)鏈價(jià)值鏈提升”主題峰會(huì)上發(fā)表演講,，聚焦網(wǎng)聯(lián)汽車軟件供應(yīng)鏈安全，探討如何提升軟件供應(yīng)鏈韌性,，助推智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質(zhì)量發(fā)展,。

WICV 2022于9月16日至19日在北京舉行。大會(huì)由北京市人民政府,、工業(yè)和信息化部,、公安部、交通運(yùn)輸部和中國科學(xué)技術(shù)協(xié)會(huì)主辦,，全力打造全球范圍規(guī)模大,、級(jí)別高、影響力強(qiáng)的交流平臺(tái),，為世界智能網(wǎng)聯(lián)汽車發(fā)展提供中國方案,。WICV 2022主題為“智能加速度，網(wǎng)聯(lián)新生態(tài)”,。

新思科技首席汽車安全策略師Dennis Kengo Oka博士以《網(wǎng)聯(lián)汽車軟件供應(yīng)鏈安全》為主題,，分享了在“軟件定義汽車”時(shí)代，網(wǎng)聯(lián)汽車相關(guān)的安全風(fēng)險(xiǎn)以及業(yè)界應(yīng)如何應(yīng)對(duì)安全挑戰(zhàn),。新思科技期望與業(yè)界共同重塑產(chǎn)業(yè)供應(yīng)鏈軟件安全體系,，構(gòu)建網(wǎng)聯(lián)汽車新生態(tài)。

Dennis Kengo Oka博士介紹到：“隨著軟件的大量應(yīng)用,，網(wǎng)聯(lián)汽車生態(tài)系統(tǒng)成為可能,。過去，一輛汽車包含一億行代碼,，不久的未來將達(dá)到10億行代碼,。軟件開發(fā)方式也日新月異?，F(xiàn)在，采用DevSecOps逐步成為趨勢(shì),，保持開發(fā)速度的同時(shí),，能夠在開發(fā)流程的早期發(fā)現(xiàn)漏洞以降低成本。而且,，車企也在使用靜態(tài)代碼分析、軟件組成分析,、模糊測(cè)試,、動(dòng)態(tài)應(yīng)用安全測(cè)試等各種工具實(shí)現(xiàn)大批量測(cè)試自動(dòng)化。汽車‘新四化’包括電動(dòng)化,、網(wǎng)聯(lián)化,、智能化、共享化,，賦予了汽車產(chǎn)業(yè)發(fā)展的無限可能,。與此同時(shí)，安全無小事,，尤其是網(wǎng)聯(lián)汽車產(chǎn)業(yè)軟件供應(yīng)鏈復(fù)雜,，潛在威脅和攻擊面也在增加?！?/p>

業(yè)界需要了解與網(wǎng)聯(lián)汽車相關(guān)的安全風(fēng)險(xiǎn)：

首先,，需要整體了解網(wǎng)聯(lián)汽車生態(tài)系統(tǒng)。網(wǎng)聯(lián)汽車有很多界面,，包括多個(gè)網(wǎng)關(guān)和外設(shè),，例如遠(yuǎn)程通信控制單元(TCU)和車載信息娛樂系統(tǒng)(IVI)。這些設(shè)備與互聯(lián)平臺(tái)進(jìn)行通信,，比如后端服務(wù),、云服務(wù)、移動(dòng)設(shè)備和應(yīng)用等,。因此,，不法分子可以針對(duì)外設(shè)進(jìn)行直接攻擊，或者通過系統(tǒng)漏洞進(jìn)行間接攻擊,。

再者,，軟件數(shù)量的爆炸式增長，意味著需要治理的軟件增多,，包括自研軟件,、第三方軟件或者開源軟件。另外,，車企還需要考慮供應(yīng)鏈,。一家公司不可能獨(dú)立開發(fā)所有的軟件,，會(huì)使用到供應(yīng)鏈中不同方開發(fā)的軟件。

還有,，合規(guī)性也不容忽視,。智能網(wǎng)聯(lián)汽車和自動(dòng)駕駛汽車領(lǐng)域已經(jīng)出臺(tái)或者正在制定相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，以保護(hù)人身安全和隱私數(shù)據(jù),，包括ISO/SAE 21434,，還有OpenChain項(xiàng)目汽車工作組發(fā)布的ISO 5230標(biāo)準(zhǔn)等。這些標(biāo)準(zhǔn)定義了汽車電子電氣系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理要求,，面向開源軟件許可證提出了要求,。車企，尤其是那些開拓海外市場(chǎng)的汽車制造商,，不僅需要克服技術(shù)挑戰(zhàn),，管理軟件開發(fā)生命周期和供應(yīng)鏈中的風(fēng)險(xiǎn)，還要確保軟件符合客戶及監(jiān)管機(jī)構(gòu)的重要國際標(biāo)準(zhǔn),。中國也已完成第一階段智能網(wǎng)聯(lián)汽車標(biāo)準(zhǔn)體系的建設(shè),，未來將新增100余項(xiàng)智能網(wǎng)聯(lián)汽車的標(biāo)準(zhǔn)。

新思科技建議智能網(wǎng)聯(lián)車企至少需要做到以下三點(diǎn),，以應(yīng)對(duì)軟件供應(yīng)鏈挑戰(zhàn)：

提升軟件透明度,。汽車制造業(yè)會(huì)創(chuàng)建物料清單，記錄各種原料,、零部件等詳細(xì)細(xì)節(jié),。軟件物料清單 (SBOM)對(duì)于軟件安全治理來說也是不可或缺的，可以記錄用于構(gòu)建軟件的各種組件的詳細(xì)信息和供應(yīng)鏈關(guān)系等,，提升軟件透明度,。SBOM有多種格式，包括SPDX,、SWID和CycloneDX等,。業(yè)界對(duì)SBOM的關(guān)注度與日俱增，美國國家電信與信息管理局在2021年發(fā)布文件,，規(guī)定了軟件材料清單最少包括哪些要素,。

落實(shí)軟件供應(yīng)鏈各方職責(zé)。軟件已經(jīng)深度參與到汽車的定義,、開發(fā),、驗(yàn)證、服務(wù)等過程中,。很常見的一個(gè)場(chǎng)景是,，供應(yīng)鏈二級(jí)供應(yīng)商為一級(jí)供應(yīng)商提供軟件，一級(jí)供應(yīng)商將軟件集成到系統(tǒng)應(yīng)用,，然后將其提供給原始設(shè)備制造商,。整個(gè)供應(yīng)鏈環(huán)環(huán)相扣,，明確各方的職責(zé)可以減少疏漏，比如規(guī)定須由哪方進(jìn)行威脅分析和風(fēng)險(xiǎn)評(píng)估(TARA)等,。

信任,，但要核查。當(dāng)車企考慮如何處理軟件供應(yīng)鏈風(fēng)險(xiǎn)時(shí),，可以選擇兩種做法,，尤其是供應(yīng)商只提供二進(jìn)制文件的情況下：完全相信供應(yīng)商所說的二進(jìn)制文件中實(shí)際包含的內(nèi)容；可以運(yùn)行軟件組成分析工具,，例如新思科技Black Duck軟件組成分析,，并進(jìn)行二進(jìn)制掃描以識(shí)別包含的組件。

新思科技中國區(qū)軟件應(yīng)用安全業(yè)務(wù)總監(jiān)楊國梁總結(jié)道：“中國正在促進(jìn)智能網(wǎng)聯(lián)汽車與相關(guān)行業(yè)融合發(fā)展,，以滿足建設(shè)汽車強(qiáng)國的需要。在未來行業(yè)競(jìng)爭中,，智能網(wǎng)聯(lián)汽車安全將是企業(yè)重要的核心競(jìng)爭力,，尤其是軟件安全，因?yàn)椤浖x汽車’已經(jīng)成為業(yè)界共識(shí),。軟件安全會(huì)成為影響消費(fèi)者決策的重要因素,，也是推動(dòng)產(chǎn)業(yè)長久、穩(wěn)定發(fā)展的驅(qū)動(dòng)力,。當(dāng)然,，這不是任何一家車企、供應(yīng)商或者科技公司可以單獨(dú)完成的,；而是需要建立完善的流程和機(jī)制,，采用可靠的工具，才能提產(chǎn)業(yè)鏈供應(yīng)鏈的韌性,，進(jìn)而為網(wǎng)聯(lián)汽車構(gòu)筑安全底座,。”

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<