飛象網(wǎng)訊 中國(guó)正在推動(dòng)新技術(shù)與交通行業(yè)深度融合,穩(wěn)妥發(fā)展智能網(wǎng)聯(lián)車(chē)產(chǎn)業(yè)。軟件供應(yīng)鏈、車(chē)機(jī)端本地服務(wù)以及云服務(wù)、移動(dòng)應(yīng)用等,任何一個(gè)環(huán)節(jié)存在缺陷或者漏洞,都可能會(huì)影響用戶的安全。整個(gè)產(chǎn)業(yè)鏈需要從底層安全架構(gòu)、從平臺(tái)自身安全開(kāi)始規(guī)劃車(chē)聯(lián)網(wǎng)安全。更重要的是,有標(biāo)準(zhǔn)可依才能確保整個(gè)產(chǎn)業(yè)正在朝著一個(gè)正確、高質(zhì)的發(fā)展方向邁進(jìn)。
新思科技(Synopsys)應(yīng)邀參加第十屆互聯(lián)網(wǎng)安全大會(huì)(ISC 2022),并在8月1日舉辦的車(chē)聯(lián)網(wǎng)安全創(chuàng)新發(fā)展論壇發(fā)表主題演講,聚焦車(chē)聯(lián)網(wǎng)軟件安全,探討如何推動(dòng)智能網(wǎng)聯(lián)車(chē)產(chǎn)業(yè)革新。
ISC 2022于7月30日至8月2日在北京舉行。大會(huì)由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)、中國(guó)信息通信研究院、中國(guó)中小企業(yè)協(xié)會(huì)、中國(guó)企業(yè)聯(lián)合會(huì)、全國(guó)工商聯(lián)大數(shù)據(jù)運(yùn)維(網(wǎng)絡(luò)安全)委員會(huì)、中國(guó)通信企業(yè)協(xié)會(huì)、中國(guó)軟件行業(yè)協(xié)會(huì)、中國(guó)企業(yè)家協(xié)會(huì)和360互聯(lián)網(wǎng)安全中心共同主辦,是亞太地區(qū)乃至全球規(guī)格高、輻射廣、影響力深遠(yuǎn)的安全峰會(huì)。ISC 2022主題為“護(hù)航數(shù)字文明,開(kāi)創(chuàng)數(shù)字安全新時(shí)代”。
新思科技高級(jí)安全架構(gòu)師許焱以《軟件定義汽車(chē)時(shí)代的安全合規(guī)測(cè)試之道》為主題,分享了軟件定義汽車(chē)的趨勢(shì)以及安全合規(guī)測(cè)試方案與實(shí)踐等洞察,期望與業(yè)界共同推動(dòng)產(chǎn)業(yè)革新,筑牢車(chē)聯(lián)網(wǎng)安全屏障。
許焱指出:“軟件能力、用戶體驗(yàn)等將成為未來(lái)車(chē)企的核心競(jìng)爭(zhēng)力之一。軟件能力越強(qiáng)、越安全,智能車(chē)企的收入占比預(yù)計(jì)越高。因此,在智能網(wǎng)聯(lián)汽車(chē)中構(gòu)建軟件可靠性及安全性至關(guān)重要。在編碼、測(cè)試和開(kāi)源使用環(huán)節(jié)出現(xiàn)缺陷和漏洞是當(dāng)下汽車(chē)軟件出現(xiàn)安全問(wèn)題的主要原因。車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)需要加強(qiáng)在軟件開(kāi)發(fā)生命周期(SDLC)的每個(gè)階段和整個(gè)軟件供應(yīng)鏈中的軟件安全狀況!
無(wú)規(guī)矩不成方圓。有相應(yīng)的法律法規(guī)和標(biāo)準(zhǔn)制定,一個(gè)產(chǎn)業(yè)的發(fā)展才能行穩(wěn)致遠(yuǎn)。智能網(wǎng)聯(lián)車(chē)是人工智能與傳統(tǒng)產(chǎn)業(yè)的結(jié)合,中國(guó)已將其列為“十四五”規(guī)劃制造業(yè)核心競(jìng)爭(zhēng)力提升項(xiàng)目,并在3月份正式出臺(tái)了《車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》,正在加快開(kāi)展智能網(wǎng)聯(lián)汽車(chē)準(zhǔn)入管理試點(diǎn)。在全球范圍內(nèi),很多重要的國(guó)際行業(yè)法規(guī)也已陸續(xù)頒發(fā),例如ISO/SAE 21434《道路車(chē)輛-網(wǎng)路安全工程》(Road vehicles – Cybersecurity engineering)。ISO/SAE 21434為車(chē)輛產(chǎn)品的全生命周期,定義了一個(gè)網(wǎng)絡(luò)安全流程要求以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的框架。
新思科技認(rèn)為要滿足ISO/SAE 21434標(biāo)準(zhǔn)要求,智能車(chē)企至少需要做到以下五點(diǎn):
1. 威脅分析與風(fēng)險(xiǎn)評(píng)估 (TARA, Threat Analysis and Risk Assessment)。通過(guò)影響和攻擊可行性等級(jí)的組合,來(lái)評(píng)估風(fēng)險(xiǎn)以及威脅;
2. 靜態(tài)代碼分析。幫助開(kāi)發(fā)和安全團(tuán)隊(duì)在SDLC早期解決安全和質(zhì)量缺陷,跟蹤和管理整個(gè)應(yīng)用組合的風(fēng)險(xiǎn),并確保符合安全和編碼標(biāo)準(zhǔn);
3. 開(kāi)源軟件管理。《2022年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA)顯示在航空航天、汽車(chē)、運(yùn)輸和物流行業(yè)被掃描的代碼庫(kù)中使用開(kāi)源的比例高達(dá)97%。智能車(chē)企需要管理在應(yīng)用和容器中使用開(kāi)源和第三方代碼所帶來(lái)的安全、質(zhì)量和許可證合規(guī)性風(fēng)險(xiǎn);
4. 內(nèi)部安全測(cè)試。企業(yè)需要為開(kāi)發(fā)人員、測(cè)試團(tuán)隊(duì)、安全團(tuán)隊(duì)使用自動(dòng)化的工具,比如漏洞掃描工具、模糊測(cè)試工具等,并充分使用這些工具;
5. 滲透測(cè)試。在研發(fā)比較后期執(zhí)行,進(jìn)行試探性風(fēng)險(xiǎn)分析和業(yè)務(wù)邏輯測(cè)試,以識(shí)別業(yè)務(wù)重大漏洞,降低信息泄露風(fēng)險(xiǎn)。
此外,新思科技一直強(qiáng)調(diào)安全是一個(gè)過(guò)程,而不是一個(gè)產(chǎn)品。對(duì)于網(wǎng)絡(luò)安全領(lǐng)域來(lái)說(shuō),挑戰(zhàn)來(lái)源于不斷演進(jìn)變化的威脅。企業(yè)的安全團(tuán)隊(duì)需要一個(gè)持續(xù)改進(jìn)的工作驅(qū)動(dòng)模式。一直以來(lái),新思科技支持企業(yè)管理應(yīng)用安全,進(jìn)而構(gòu)建可信的軟件。軟件安全構(gòu)建成熟度模型(BSIMM, the Building Security In Maturity Model)是業(yè)界最佳安全實(shí)踐模型之一,由新思科技(Synopsys)和BSIMM社區(qū)自2008年起合作開(kāi)發(fā)。智能車(chē)企可以基于真實(shí)數(shù)據(jù),衡量及創(chuàng)建產(chǎn)品相關(guān)的安全活動(dòng)。除了BSIMM評(píng)估,新思科技還提供覆蓋軟件開(kāi)發(fā)生命周期的安全測(cè)試解決方案,包括Coverity靜態(tài)應(yīng)用安全測(cè)試以及Black Duck軟件組成分析。
新思科技中國(guó)區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)楊國(guó)梁總結(jié)道:“中國(guó)正在推動(dòng)各類(lèi)新興產(chǎn)業(yè)融合發(fā)展,其中智能網(wǎng)聯(lián)汽車(chē)正成為新一輪新興產(chǎn)業(yè)發(fā)展變革的關(guān)鍵著力點(diǎn)!悄堋汀踩枰冀K并行。依賴(lài)安全可信的軟件,車(chē)聯(lián)網(wǎng)才能走得更穩(wěn)、更遠(yuǎn)。傳統(tǒng)產(chǎn)業(yè)需要進(jìn)一步革新,著力構(gòu)建可信的安全生態(tài),護(hù)航車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)的高質(zhì)量發(fā)展。當(dāng)然,車(chē)聯(lián)網(wǎng)安全的建設(shè)除了政策等方面的支持外,更離不開(kāi)軟件安全公司的助力。新思科技將持續(xù)助力汽車(chē)制造商、車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)鏈相關(guān)企業(yè),更有效地應(yīng)對(duì)汽車(chē)安全及合規(guī)新挑戰(zhàn),解決數(shù)字化轉(zhuǎn)型中遇到的軟件安全難題,為智能網(wǎng)聯(lián)車(chē)?yán)卫蜗岛谩踩珟А!?