安势信息应邀出席2023ATC汽车软件与安全技术周

 

 

# Space Day of China #

近日,上海安势信息技术有限公司应邀出席在沪举办的「2023ATC汽车软件与安全技术周」,作为一家国内市场领先的软件供应链安全治理工具提供商,安势信息提供涵盖技术测试(源代码审计、渗透测试)、风险评估(TARA、合规性评估)和基于ISO/SAE 21434安全研发体系建设等一系列车联网安全服务。

 

 

针对近年来,以CASE新四化为先导,智能驾驶已成为全球汽车产业发展的战略方向,CASE能力背后是不断增长的代码量和随之而来的车联网的安全和软件许可证合规等挑战。上海安势信息技术有限公司技术市场总监王峰先生在「第五届汽车信息安全技术峰会」上分享了《从开源安全看汽车安全新挑战》主题演讲,王峰先生从“软件定义汽车的大趋势”“轮子上运转的计算机(‘Computer Running on Wheels’)”面临的挑战“车企如何应对这些挑战”三个方向,以一个全新视角阐述了车联网安全。

 

上海安势信息技术有限公司技术市场总监 王峰 精彩分享

 

上海安势信息技术有限公司 展位互动咨询

 

01

软件定义汽车

 

汽车实现智能化、网联化、电动化、共享化新四化能力的背后是代码量爆发式的增长。先看一组数据:2010年,主流车型的源代码约1000万行,到2016年短短6年间就达到了1.5亿行,预计到2025年这个数字将突破2亿。据麦肯锡预测,软件占整车价值的比重,将从目前的10%提升到30%。由此可见,软件在整车中的价值在不断的提升,我们已步入软件定义汽车的时代。

 

据OSSRA对航天航空、汽车、运输和物流行业代码库的扫描报告显示:在上述如此庞大的代码量中超过70%都是开源代码,63%的代码库包含高风险漏洞(严重程度为7分甚至更高)。开源漏洞的不断涌现(据统计每年有几千到一万多个开源漏洞),其中汽车行业相关的开源漏洞占其中很大比例(例:2022年就有300多个汽车行业相关CVE)。从2019年-2022年,针对汽车的攻击逐年增加,大家需要对开源漏洞引起足够的重视。

 

车载软件攻击类型的多样化:

 

 

  • 功能性漏洞:ECU、APIs、信息娱乐系统、蓝牙等。

  • 汽车供应链漏洞:我们需要思考的是供应链任何一个环节如果存在漏洞,最后是否都让消费者承担呢?

  • 软件供应链漏洞:从一个软件的研发、编译、测试、发布环节,每个环节都有可能产生漏洞。

 

02

轮子上运转的计算机面临的挑战

 

 
 

#01 

挑战1:软件的复杂性大幅增加导致软件漏洞可能成为威胁人身安全的重大因素

 

根据麦肯锡的报告:“在过去的十年里,汽车行业单个软件项目的平均复杂度增长了300%:

 

软硬件系统复杂

·每个ECU都是以孤岛式的方法进行建造;

·每个单元都有自己的硬件和软件(其中包括中间件、操作系统和服务);

·越来越多的AI、ML使得这种复杂性大为提升。

 

开源代码的大量使用导致可被利用的薄弱点增多

·传统的开源安全漏洞攻:Heartbleed, Log4j 。

·针对软件供应链的攻击:投毒Typosquatting、高版本(恶意)组件。

 

这就需要企业建立黑白名单,建立开源软件机制。

 

由于信息安全隐患导致的召回事件

远程漏洞潜在的攻击导致车辆的召回事件层出不穷,例如:克莱斯勒召回140万辆汽车;特斯拉Model S的信息娱乐系统存在一个数年前的漏洞,可以让攻击者通过远程黑客攻击完全控制汽车;通用汽车远程漏洞等。

 

SAST和DAST工具在发现开源漏洞方面能力有限

虽然SAST和DAST在发现内部开发人员编写的代码中的错误方面很有效,但它们在识别第三方代码中的开源漏洞方面并不能发挥很大的效果。自2004年以来,美国国家漏洞数据库(NVD)已经披露了超过74000个漏洞,但其中只有13个是由SAST和DAST工具发现的。

 

 
 

#02 

挑战2:软件许可证合规性成为车企亟需重视的方面

 

开源许可证是一种附条件的合同/版权许可,通过它,许可人授予被许可人自由查看、运行、修改、分发开源软件源代码的权利,前提是满足许可证的条件。

 

开源许可证主要分为以下四种:

 

 

同时,许可证也存在三类风险:

 

 

对于车企来说,需要认识到许可证合规是开源风险极其重要的一部分。

 

目前,大多数开源组件受大约2000多种已知开源许可证规制,即使是所谓的 “宽松型”的开源许可证,通常也要求遵守再分配和在Notice文件、License文件记录的要求,企业如何治理及管理这些许可证成为一大挑战。

 

OSSRA 2021年的报告显示,汽车行业高达61%的代码库中存在许可证冲突。

 

 
 

#03

挑战3:汽车行业的转型中缺乏对研发流程的革新和相关专业人才匮乏

 

汽车行业由V字型开发流程转向DevOps敏捷开发进而扩展到DevSecOps,助力软件团队缩短开发周期,加速软件迭代,更快速的交付用户。但针对软件供应链层面的攻击日益增多(如针对代码仓库、CI/CD管道、分发过程的攻击)。

 

另外,在当前的劳动力市场上,公司面临着吸引和保留具有软件技能的候选人的挑战。另一方面,缺乏对开发者社区以及开源模式的重视,正在成为阻碍传统车企加速软件化和智能化转型的重要因素之一。

 

 
 

#04

挑战4:产品生命周期带来的长期维护挑战

 

对于汽车来说,整体的汽车架构平均使用寿命超10年以上,整体生命周期远超于其他电子产品。另外一点需要考虑的是如何确定使用的组件在未来会得到开源社区的支持?

 

03

车企如何应对这些挑战

 

1

提升开源软件供应链安全的行动

  • 首先,要从可持续的生成SBOM开始,这是作为进行开源治理和风险管控的基础,因为通过SBOM,企业可以清晰的掌握代码中应用的开源组建。

     

  • 其次,企业及组织需要重视开源安全与合规,积极的加入类似TODO Group的组织来推进建立企业内部的OSPO。

     

  • 在流程管理方面,要将安全管控流程建立到Dev-QA/UAT-Prod环节中,不信任从任何源头下载的开源组件,同时需要建立应急预案,快速响应。

     

  • 最后,一定要有开放协作的心态,积极与其他兄弟企业、开源社区、开源基金会等组织协作。

 

建立安全软件供应链的核心要义是具备持续跟踪、监控、管理漏洞和风险的能力。

 

 

2

持续扫描和整改,维护完整的企业资产树和

SBOM清单

对于车企来讲,软件供应链不单单涉及企业内部研发的供应链,更有明显的上下游特点。从OEM到Tier 1到Tier 2都需要构建生成SBOM的能力。SBOM是开源治理的基础,当供应商或汽车OEM不了解其产品软件中使用的所有开源代码时,就无法抵御针对这些开源组件的漏洞攻击。任何利用网联汽车技术的组织都需要检查它用来提供这些功能的软件生态系统,并在其安全计划中涉及对开源代码的识别和管理。更进一步来讲,生成完整准确的SBOM离不开SCA工具。

 

 

 

04

汽车行业开源软件安全及合规解决方案及

车联网安全服务

 

发现开源软件中安全及合规风险的基础-SCA工具

 

清源(CleanSource) SCA是安势信息研发的一款拥有完全自主知识产权的软件成分分析工具,能够帮助企业降低和管理其应用或容器中因使用开源软件和其他第三方代码(软件)引入的安全、质量与许可证合规性风险。

 

清源 SCA 成功通过信通院《可信开源治理工具》认证,作为国内拥有完全自主知识产权的权威SCA分析工具,可帮助企业快速构建准确的SBOM (软件物料清单),  提供清晰的软件成分可视性分析,降低软件供应链风险,并帮助企业在软件开发全生命周期对其进行管理。

 

 

安势车联网安全服务

 

安势信息提供涵盖技术测试(源代码审计、渗透测试)、风险评估(TARA、合规性评估)和基于ISO/SAE 21434安全研发体系建设等一系列车联网安全服务。

 

 

 

 

行业资讯

专业的开源安全与合规治理供应商