(资料图片)
北京商报讯(记者 刘洋 刘晓梦)汽车智能化、网联化、电动化和共享化的发展趋势日益显著,智能网联汽车的市场规模预计将逐步提高。不过,汽车软件系统涉及层面复杂、供应链长,智能网联汽车的安全问题成为业内关注焦点。面对智能网联汽车在软件安全、合规方面遇到的挑战以及如何夯实智能网联汽车的安全底座等问题,新思科技中国区软件应用安全业务总监杨国梁近日表示:“汽车行业已经开始从‘Safety First ’(人身安全至上)转向‘Safety and Security First’(人身安全及软件安全至上)。”
目前,不少人认为,现代智能汽车本质上相当于“有四个轮子的智能手机”。但事实上,车机系统对接大量的ECU以及各种各样的网关和车身单元。麦肯锡发布报告显示,当前汽车拥有多达150个ECU和大约1亿行代码,其复杂度已远超安卓手机系统。在谈到这一认知时,杨国梁表示:“很多人认为现在的智能联网汽车是‘1个手机上面加4个轮子’,从安全角度来看,这是不准确的。因为手机出现问题就只需要做一次重启,而汽车上任何一个零部件现出安全问题,将直接影响用主户的人身安全和生命安全。因此,智能联网汽车的安全防护,需要引入一系列的体系、工具和策略。”
新思科技发布的《2023年开源安全和风险分析》报告显示,在2022年审查的1703个代码库中,87%包括安全问题和运营风险。其中还有96%被审计的代码使用开源组件,54%的代码库存在开源许可证冲突,89%的代码库包含至少已经过期四年的开源代码,91%的代码库存包含两年未更新的组件。具体到汽车行业,被审计的代码中100%包含开源代码,并且开源代码占据代码总数的73%,63%的代码库中包含高风险漏洞。
杨国梁认为:“同汽车硬件一样,汽车软件同样形成供应链关系,只不过与硬件不同的是,下游厂商接收的是自己开发人员从开源网站拿过来的开源代码或者开源工具。从业界知名的SolarWinds攻击事件可知,把有问题或经过恶意篡改的应用程序纳入到供应链体系中,结果必然会导致开发成果受到恶意影响。”
智能网联汽车的安全重要性不言而喻,如何让行业安全合规成为关键一点。据了解,智能网联汽车和自动驾驶汽车领域已经出台或者正在制定相关法律法规及行业标准,以保护人身安全和隐私数据,包括ISO/SAE 21434,还有OpenChain项目汽车工作组发布的ISO 5230标准等。而在国内,工信部印发的《车联网网络安全和数据安全标准体系建设指南》也提出,到2023年底,初步构建起车联网网络安全和数据安全标准体系。杨国梁认为,这些法律法规对汽车的信息安全和网络空间安全系统管理提出监管要求,有助于推动整个汽车产业安全性的提升。
此外,针对在研发端安全体系的建立,杨国梁建议:“首先要建立起软件安全政策和流程,并获得团队和管理层的认可。其次,建立软件安全活动并部署自动化工具。在此基础之上,从小型试点项目开始,在推出前获得认可。最后,要与产品团队互动,收集反馈并进行改进;与行业实践对比,制定出改善计划。”
上一篇 : 售价11.38万元起 全新换代雷凌正式上市