安势信息应邀出席2023ATC汽车软件与安全技术周

近日，上海安势信息技术有限公司应邀出席在沪举办的「2023ATC汽车软件与安全技术周」，作为一家国内市场领先的软件供应链安全治理工具提供商，安势信息提供涵盖技术测试（源代码审计、渗透测试）、风险评估（TARA、合规性评估）和基于ISO/SAE 21434安全研发体系建设等一系列车联网安全服务。

挑战1：软件的复杂性大幅增加导致软件漏洞可能成为威胁人身安全的重大因素

根据麦肯锡的报告：“在过去的十年里，汽车行业单个软件项目的平均复杂度增长了300%：

软硬件系统复杂

·每个ECU都是以孤岛式的方法进行建造；

·每个单元都有自己的硬件和软件（其中包括中间件、操作系统和服务）；

·越来越多的AI、ML使得这种复杂性大为提升。

开源代码的大量使用导致可被利用的薄弱点增多

·传统的开源安全漏洞攻：Heartbleed, Log4j 。

·针对软件供应链的攻击：投毒Typosquatting、高版本（恶意）组件。

这就需要企业建立黑白名单，建立开源软件机制。

由于信息安全隐患导致的召回事件

远程漏洞潜在的攻击导致车辆的召回事件层出不穷，例如：克莱斯勒召回140万辆汽车；特斯拉Model S的信息娱乐系统存在一个数年前的漏洞，可以让攻击者通过远程黑客攻击完全控制汽车；通用汽车远程漏洞等。

SAST和DAST工具在发现开源漏洞方面能力有限

虽然SAST和DAST在发现内部开发人员编写的代码中的错误方面很有效，但它们在识别第三方代码中的开源漏洞方面并不能发挥很大的效果。自2004年以来，美国国家漏洞数据库（NVD）已经披露了超过74000个漏洞，但其中只有13个是由SAST和DAST工具发现的。

挑战2：软件许可证合规性成为车企亟需重视的方面

开源许可证是一种附条件的合同/版权许可，通过它，许可人授予被许可人自由查看、运行、修改、分发开源软件源代码的权利，前提是满足许可证的条件。

开源许可证主要分为以下四种：

同时，许可证也存在三类风险：

挑战3：汽车行业的转型中缺乏对研发流程的革新和相关专业人才匮乏

汽车行业由V字型开发流程转向DevOps敏捷开发进而扩展到DevSecOps，助力软件团队缩短开发周期，加速软件迭代，更快速的交付用户。但针对软件供应链层面的攻击日益增多（如针对代码仓库、CI/CD管道、分发过程的攻击）。

另外，在当前的劳动力市场上，公司面临着吸引和保留具有软件技能的候选人的挑战。另一方面，缺乏对开发者社区以及开源模式的重视，正在成为阻碍传统车企加速软件化和智能化转型的重要因素之一。

挑战4：产品生命周期带来的长期维护挑战

对于汽车来说，整体的汽车架构平均使用寿命超10年以上，整体生命周期远超于其他电子产品。另外一点需要考虑的是如何确定使用的组件在未来会得到开源社区的支持？

1

提升开源软件供应链安全的行动

• 首先，要从可持续的生成SBOM开始，这是作为进行开源治理和风险管控的基础，因为通过SBOM，企业可以清晰的掌握代码中应用的开源组建。

   

• 其次，企业及组织需要重视开源安全与合规，积极的加入类似TODO Group的组织来推进建立企业内部的OSPO。

   

• 在流程管理方面，要将安全管控流程建立到Dev-QA/UAT-Prod环节中，不信任从任何源头下载的开源组件，同时需要建立应急预案，快速响应。

   

• 最后，一定要有开放协作的心态，积极与其他兄弟企业、开源社区、开源基金会等组织协作。

建立安全软件供应链的核心要义是具备持续跟踪、监控、管理漏洞和风险的能力。

2

持续扫描和整改，维护完整的企业资产树和

SBOM清单

对于车企来讲，软件供应链不单单涉及企业内部研发的供应链，更有明显的上下游特点。从OEM到Tier 1到Tier 2都需要构建生成SBOM的能力。SBOM是开源治理的基础，当供应商或汽车OEM不了解其产品软件中使用的所有开源代码时，就无法抵御针对这些开源组件的漏洞攻击。任何利用网联汽车技术的组织都需要检查它用来提供这些功能的软件生态系统，并在其安全计划中涉及对开源代码的识别和管理。更进一步来讲，生成完整准确的SBOM离不开SCA工具。