新思科技推動(dòng)產(chǎn)業(yè)革新為智能網(wǎng)聯(lián)車系好“安全帶”

中國(guó)正在推動(dòng)新技術(shù)與交通行業(yè)深度融合，穩(wěn)妥發(fā)展智能網(wǎng)聯(lián)車產(chǎn)業(yè)。軟件供應(yīng)鏈、車機(jī)端本地服務(wù)以及云服務(wù)、移動(dòng)應(yīng)用等，任何一個(gè)環(huán)節(jié)存在缺陷或者漏洞，都可能會(huì)影響用戶的安全。整個(gè)產(chǎn)業(yè)鏈需要從底層安全架構(gòu)、從平臺(tái)自身安全開始規(guī)劃車聯(lián)網(wǎng)安全。更重要的是，有標(biāo)準(zhǔn)可依才能確保整個(gè)產(chǎn)業(yè)正在朝著一個(gè)正確、高質(zhì)的發(fā)展方向邁進(jìn)。

新思科技(Synopsys)應(yīng)邀參加第十屆互聯(lián)網(wǎng)安全大會(huì)(ISC 2022)，并在8月1日舉辦的車聯(lián)網(wǎng)安全創(chuàng)新發(fā)展論壇發(fā)表主題演講，聚焦車聯(lián)網(wǎng)軟件安全，探討如何推動(dòng)智能網(wǎng)聯(lián)車產(chǎn)業(yè)革新。

ISC 2022于7月30日至8月2日在北京舉行。大會(huì)由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)、中國(guó)信息通信研究院、中國(guó)中小企業(yè)協(xié)會(huì)、中國(guó)企業(yè)聯(lián)合會(huì)、全國(guó)工商聯(lián)大數(shù)據(jù)運(yùn)維（網(wǎng)絡(luò)安全）委員會(huì)、中國(guó)通信企業(yè)協(xié)會(huì)、中國(guó)軟件行業(yè)協(xié)會(huì)、中國(guó)企業(yè)家協(xié)會(huì)和360互聯(lián)網(wǎng)安全中心共同主辦，是亞太地區(qū)乃至全球規(guī)格高、輻射廣、影響力深遠(yuǎn)的安全峰會(huì)。ISC 2022主題為“護(hù)航數(shù)字文明，開創(chuàng)數(shù)字安全新時(shí)代”。

新思科技高級(jí)安全架構(gòu)師許焱以《軟件定義汽車時(shí)代的安全合規(guī)測(cè)試之道》為主題，分享了軟件定義汽車的趨勢(shì)以及安全合規(guī)測(cè)試方案與實(shí)踐等洞察，期望與業(yè)界共同推動(dòng)產(chǎn)業(yè)革新，筑牢車聯(lián)網(wǎng)安全屏障。

許焱指出：“軟件能力、用戶體驗(yàn)等將成為未來(lái)車企的核心競(jìng)爭(zhēng)力之一。軟件能力越強(qiáng)、越安全，智能車企的收入占比預(yù)計(jì)越高。因此，在智能網(wǎng)聯(lián)汽車中構(gòu)建軟件可靠性及安全性至關(guān)重要。在編碼、測(cè)試和開源使用環(huán)節(jié)出現(xiàn)缺陷和漏洞是當(dāng)下汽車軟件出現(xiàn)安全問(wèn)題的主要原因。車聯(lián)網(wǎng)產(chǎn)業(yè)需要加強(qiáng)在軟件開發(fā)生命周期(SDLC)的每個(gè)階段和整個(gè)軟件供應(yīng)鏈中的軟件安全狀況?！?

無(wú)規(guī)矩不成方圓。有相應(yīng)的法律法規(guī)和標(biāo)準(zhǔn)制定，一個(gè)產(chǎn)業(yè)的發(fā)展才能行穩(wěn)致遠(yuǎn)。智能網(wǎng)聯(lián)車是人工智能與傳統(tǒng)產(chǎn)業(yè)的結(jié)合，中國(guó)已將其列為“十四五”規(guī)劃制造業(yè)核心競(jìng)爭(zhēng)力提升項(xiàng)目，并在3月份正式出臺(tái)了《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》，正在加快開展智能網(wǎng)聯(lián)汽車準(zhǔn)入管理試點(diǎn)。在全球范圍內(nèi)，很多重要的國(guó)際行業(yè)法規(guī)也已陸續(xù)頒發(fā)，例如ISO/SAE 21434《道路車輛－網(wǎng)路安全工程》(Road vehicles – Cybersecurity engineering)。ISO/SAE 21434為車輛產(chǎn)品的全生命周期，定義了一個(gè)網(wǎng)絡(luò)安全流程要求以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的框架。

新思科技認(rèn)為要滿足ISO/SAE 21434標(biāo)準(zhǔn)要求，智能車企至少需要做到以下五點(diǎn)：

威脅分析與風(fēng)險(xiǎn)評(píng)估 (TARA, Threat Analysis and Risk Assessment)。通過(guò)影響和攻擊可行性等級(jí)的組合，來(lái)評(píng)估風(fēng)險(xiǎn)以及威脅；

靜態(tài)代碼分析。幫助開發(fā)和安全團(tuán)隊(duì)在SDLC早期解決安全和質(zhì)量缺陷，跟蹤和管理整個(gè)應(yīng)用組合的風(fēng)險(xiǎn)，并確保符合安全和編碼標(biāo)準(zhǔn)；

開源軟件管理?！?022年開源安全和風(fēng)險(xiǎn)分析》報(bào)告（OSSRA）顯示在航空航天、汽車、運(yùn)輸和物流行業(yè)被掃描的代碼庫(kù)中使用開源的比例高達(dá)97%。智能車企需要管理在應(yīng)用和容器中使用開源和第三方代碼所帶來(lái)的安全、質(zhì)量和許可證合規(guī)性風(fēng)險(xiǎn)；

內(nèi)部安全測(cè)試。企業(yè)需要為開發(fā)人員、測(cè)試團(tuán)隊(duì)、安全團(tuán)隊(duì)使用自動(dòng)化的工具，比如漏洞掃描工具、模糊測(cè)試工具等，并充分使用這些工具；

滲透測(cè)試。在研發(fā)比較后期執(zhí)行，進(jìn)行試探性風(fēng)險(xiǎn)分析和業(yè)務(wù)邏輯測(cè)試，以識(shí)別業(yè)務(wù)重大漏洞，降低信息泄露風(fēng)險(xiǎn)。

此外，新思科技一直強(qiáng)調(diào)安全是一個(gè)過(guò)程，而不是一個(gè)產(chǎn)品。對(duì)于網(wǎng)絡(luò)安全領(lǐng)域來(lái)說(shuō)，挑戰(zhàn)來(lái)源于不斷演進(jìn)變化的威脅。企業(yè)的安全團(tuán)隊(duì)需要一個(gè)持續(xù)改進(jìn)的工作驅(qū)動(dòng)模式。一直以來(lái)，新思科技支持企業(yè)管理應(yīng)用安全，進(jìn)而構(gòu)建可信的軟件。軟件安全構(gòu)建成熟度模型（BSIMM, the Building Security In Maturity Model）是業(yè)界最佳安全實(shí)踐模型之一，由新思科技(Synopsys)和BSIMM社區(qū)自2008年起合作開發(fā)。智能車企可以基于真實(shí)數(shù)據(jù)，衡量及創(chuàng)建產(chǎn)品相關(guān)的安全活動(dòng)。除了BSIMM評(píng)估，新思科技還提供覆蓋軟件開發(fā)生命周期的安全測(cè)試解決方案，包括Coverity靜態(tài)應(yīng)用安全測(cè)試以及Black Duck軟件組成分析。

新思科技中國(guó)區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)楊國(guó)梁總結(jié)道：“中國(guó)正在推動(dòng)各類新興產(chǎn)業(yè)融合發(fā)展，其中智能網(wǎng)聯(lián)汽車正成為新一輪新興產(chǎn)業(yè)發(fā)展變革的關(guān)鍵著力點(diǎn)?！悄堋汀踩枰冀K并行。依賴安全可信的軟件，車聯(lián)網(wǎng)才能走得更穩(wěn)、更遠(yuǎn)。傳統(tǒng)產(chǎn)業(yè)需要進(jìn)一步革新，著力構(gòu)建可信的安全生態(tài)，護(hù)航車聯(lián)網(wǎng)產(chǎn)業(yè)的高質(zhì)量發(fā)展。當(dāng)然，車聯(lián)網(wǎng)安全的建設(shè)除了政策等方面的支持外，更離不開軟件安全公司的助力。新思科技將持續(xù)助力汽車制造商、車聯(lián)網(wǎng)產(chǎn)業(yè)鏈相關(guān)企業(yè)，更有效地應(yīng)對(duì)汽車安全及合規(guī)新挑戰(zhàn)，解決數(shù)字化轉(zhuǎn)型中遇到的軟件安全難題，為智能網(wǎng)聯(lián)車?yán)卫蜗岛谩踩珟А??！?