新思科技推動產(chǎn)業(yè)革新為智能網(wǎng)聯(lián)車系好“安全帶”
中國正在推動新技術(shù)與交通行業(yè)深度融合,穩(wěn)妥發(fā)展智能網(wǎng)聯(lián)車產(chǎn)業(yè)。軟件供應(yīng)鏈、車機(jī)端本地服務(wù)以及云服務(wù)、移動應(yīng)用等,任何一個(gè)環(huán)節(jié)存在缺陷或者漏洞,都可能會影響用戶的安全。整個(gè)產(chǎn)業(yè)鏈需要從底層安全架構(gòu)、從平臺自身安全開始規(guī)劃車聯(lián)網(wǎng)安全。更重要的是,有標(biāo)準(zhǔn)可依才能確保整個(gè)產(chǎn)業(yè)正在朝著一個(gè)正確、高質(zhì)的發(fā)展方向邁進(jìn)。
新思科技(Synopsys)應(yīng)邀參加第十屆互聯(lián)網(wǎng)安全大會(ISC 2022),并在8月1日舉辦的車聯(lián)網(wǎng)安全創(chuàng)新發(fā)展論壇發(fā)表主題演講,聚焦車聯(lián)網(wǎng)軟件安全,探討如何推動智能網(wǎng)聯(lián)車產(chǎn)業(yè)革新。
ISC 2022于7月30日至8月2日在北京舉行。大會由中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會、中國信息通信研究院、中國中小企業(yè)協(xié)會、中國企業(yè)聯(lián)合會、全國工商聯(lián)大數(shù)據(jù)運(yùn)維(網(wǎng)絡(luò)安全)委員會、中國通信企業(yè)協(xié)會、中國軟件行業(yè)協(xié)會、中國企業(yè)家協(xié)會和360互聯(lián)網(wǎng)安全中心共同主辦,是亞太地區(qū)乃至全球規(guī)格高、輻射廣、影響力深遠(yuǎn)的安全峰會。ISC 2022主題為“護(hù)航數(shù)字文明,開創(chuàng)數(shù)字安全新時(shí)代”。
新思科技高級安全架構(gòu)師許焱以《軟件定義汽車時(shí)代的安全合規(guī)測試之道》為主題,分享了軟件定義汽車的趨勢以及安全合規(guī)測試方案與實(shí)踐等洞察,期望與業(yè)界共同推動產(chǎn)業(yè)革新,筑牢車聯(lián)網(wǎng)安全屏障。
許焱指出:“軟件能力、用戶體驗(yàn)等將成為未來車企的核心競爭力之一。軟件能力越強(qiáng)、越安全,智能車企的收入占比預(yù)計(jì)越高。因此,在智能網(wǎng)聯(lián)汽車中構(gòu)建軟件可靠性及安全性至關(guān)重要。在編碼、測試和開源使用環(huán)節(jié)出現(xiàn)缺陷和漏洞是當(dāng)下汽車軟件出現(xiàn)安全問題的主要原因。車聯(lián)網(wǎng)產(chǎn)業(yè)需要加強(qiáng)在軟件開發(fā)生命周期(SDLC)的每個(gè)階段和整個(gè)軟件供應(yīng)鏈中的軟件安全狀況?!?
無規(guī)矩不成方圓。有相應(yīng)的法律法規(guī)和標(biāo)準(zhǔn)制定,一個(gè)產(chǎn)業(yè)的發(fā)展才能行穩(wěn)致遠(yuǎn)。智能網(wǎng)聯(lián)車是人工智能與傳統(tǒng)產(chǎn)業(yè)的結(jié)合,中國已將其列為“十四五”規(guī)劃制造業(yè)核心競爭力提升項(xiàng)目,并在3月份正式出臺了《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》,正在加快開展智能網(wǎng)聯(lián)汽車準(zhǔn)入管理試點(diǎn)。在全球范圍內(nèi),很多重要的國際行業(yè)法規(guī)也已陸續(xù)頒發(fā),例如ISO/SAE 21434《道路車輛-網(wǎng)路安全工程》(Road vehicles – Cybersecurity engineering)。ISO/SAE 21434為車輛產(chǎn)品的全生命周期,定義了一個(gè)網(wǎng)絡(luò)安全流程要求以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的框架。
新思科技認(rèn)為要滿足ISO/SAE 21434標(biāo)準(zhǔn)要求,智能車企至少需要做到以下五點(diǎn):
威脅分析與風(fēng)險(xiǎn)評估 (TARA, Threat Analysis and Risk Assessment)。通過影響和攻擊可行性等級的組合,來評估風(fēng)險(xiǎn)以及威脅;
靜態(tài)代碼分析。幫助開發(fā)和安全團(tuán)隊(duì)在SDLC早期解決安全和質(zhì)量缺陷,跟蹤和管理整個(gè)應(yīng)用組合的風(fēng)險(xiǎn),并確保符合安全和編碼標(biāo)準(zhǔn);
開源軟件管理?!?022年開源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA)顯示在航空航天、汽車、運(yùn)輸和物流行業(yè)被掃描的代碼庫中使用開源的比例高達(dá)97%。智能車企需要管理在應(yīng)用和容器中使用開源和第三方代碼所帶來的安全、質(zhì)量和許可證合規(guī)性風(fēng)險(xiǎn);
內(nèi)部安全測試。企業(yè)需要為開發(fā)人員、測試團(tuán)隊(duì)、安全團(tuán)隊(duì)使用自動化的工具,比如漏洞掃描工具、模糊測試工具等,并充分使用這些工具;
滲透測試。在研發(fā)比較后期執(zhí)行,進(jìn)行試探性風(fēng)險(xiǎn)分析和業(yè)務(wù)邏輯測試,以識別業(yè)務(wù)重大漏洞,降低信息泄露風(fēng)險(xiǎn)。
此外,新思科技一直強(qiáng)調(diào)安全是一個(gè)過程,而不是一個(gè)產(chǎn)品。對于網(wǎng)絡(luò)安全領(lǐng)域來說,挑戰(zhàn)來源于不斷演進(jìn)變化的威脅。企業(yè)的安全團(tuán)隊(duì)需要一個(gè)持續(xù)改進(jìn)的工作驅(qū)動模式。一直以來,新思科技支持企業(yè)管理應(yīng)用安全,進(jìn)而構(gòu)建可信的軟件。軟件安全構(gòu)建成熟度模型(BSIMM, the Building Security In Maturity Model)是業(yè)界最佳安全實(shí)踐模型之一,由新思科技(Synopsys)和BSIMM社區(qū)自2008年起合作開發(fā)。智能車企可以基于真實(shí)數(shù)據(jù),衡量及創(chuàng)建產(chǎn)品相關(guān)的安全活動。除了BSIMM評估,新思科技還提供覆蓋軟件開發(fā)生命周期的安全測試解決方案,包括Coverity靜態(tài)應(yīng)用安全測試以及Black Duck軟件組成分析。
新思科技中國區(qū)軟件應(yīng)用安全技術(shù)總監(jiān)楊國梁總結(jié)道:“中國正在推動各類新興產(chǎn)業(yè)融合發(fā)展,其中智能網(wǎng)聯(lián)汽車正成為新一輪新興產(chǎn)業(yè)發(fā)展變革的關(guān)鍵著力點(diǎn)。‘智能’和‘安全’需要始終并行。依賴安全可信的軟件,車聯(lián)網(wǎng)才能走得更穩(wěn)、更遠(yuǎn)。傳統(tǒng)產(chǎn)業(yè)需要進(jìn)一步革新,著力構(gòu)建可信的安全生態(tài),護(hù)航車聯(lián)網(wǎng)產(chǎn)業(yè)的高質(zhì)量發(fā)展。當(dāng)然,車聯(lián)網(wǎng)安全的建設(shè)除了政策等方面的支持外,更離不開軟件安全公司的助力。新思科技將持續(xù)助力汽車制造商、車聯(lián)網(wǎng)產(chǎn)業(yè)鏈相關(guān)企業(yè),更有效地應(yīng)對汽車安全及合規(guī)新挑戰(zhàn),解決數(shù)字化轉(zhuǎn)型中遇到的軟件安全難題,為智能網(wǎng)聯(lián)車?yán)卫蜗岛谩踩珟А?。?