保障汽车行业的软件供应链安全

最新推荐文章于 2024-04-30 17:15:06 发布
最新推荐文章于 2024-04-30 17:15:06 发布
阅读量419 收藏 2
点赞数
分类专栏: 开源 DevSecOps分享 文章标签: 网络 安全 devops 汽车
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzt961003/article/details/125841175
版权

汽车行业正处于激烈的变革性技术创新之中。20多年来,从1999年的混合动力,到2010年的插电式混合动力,再到现在的纯电动汽车,汽车行业发生了翻天覆地的新变化。最近,它在安全、车辆连接、半自动驾驶等领域取得了显著的技术进步。

 

而且,这一革新时代远未结束。根据全球领先的管理咨询公司麦肯锡所言:“未来十年,汽车行业将面临一个世纪以来从未见过的巨大变化。”

这种变化将在很大程度上受到软件组件的推动,这些软件组件构成了信息娱乐、乘客舒适性、远程信息处理、完全自动驾驶能力、动力集成、通信、安全等各种车载应用的基础。据估计,到2026年,全球汽车软件市场将到达惊人的419亿美元,年复合增长率(CAGR)将达到两位数。

当然,这种创新和进步也将为网络安全,尤其是软件供应链安全领域带来更加光明的前景。随着软件组件和供应商数量的增加,再加上网络犯罪活动日益猖獗,汽车制造商需要特别小心的开发带有可信组件的应用程序。

在本文中,我们将探讨一些汽车行业的软件供应链安全风险问题,这些风险预计就随着持续的技术创新而不断出现,最后我们将介绍SCA如何帮助汽车公司解决这些问题。

一、汽车软件供应链的演进

就像硬件来源于跨越大陆和公司的供应链一样,复杂的电子软件也来源与世界各地的第三方。鉴于驱动未来十年汽车创新所需的大量软件组件,汽车制造商就不可避免的被迫重新审视传统的软件供应链。

正如麦肯锡在一份报告中所提到的:

在过去的几年里,现代汽车已经成为车轮上的数据中心。通过比较现代汽车、飞机和个人电脑中的代码行,我们可以窥见保护这些汽车安全的挑战。今天的汽车有多达150个ECU和大约1亿行代码;到2030年,许多学者预计他们将有大约3亿行软件代码。而客机只拥有大约1500万行代码,一架现代战斗机拥有大约2500万行代码,大众市场的个人电脑操作系统接近4000万行。产生这种情况的原因既有过去35年来以特定方式设计电子系统的遗留问题,也有联网和自动驾驶汽车系统日益增长的需求和日益复杂的问题。它为网络攻击创造了大量机会,不仅是在汽车上,而且是在整个产业链上。

 

二、硬件和软件驱动的联动汽车未来

 理论上,现在交通工具中的软件组件规模确实为不法分子创造了一个更广泛的攻击平台。当我们展望全自动驾驶汽车和更多软件驱动创新的未来时,不难想象恶意代码进入关键系统并对乘客造成伤害的情况。

显然,对于跨行业的企业,包括汽车公司来说,留意软件供应链攻击是很重要的。攻击者知道感染上游项目是可行的,这他们能快速控制大量的下游客户。当我们使用的软件深深的嵌入到我们的系统中,我们给予它对秘密和敏感信息的完全控制,这可能会带来毁灭性的后果。

汽车行业安全风险的增加和软件使用的增长促使监管部门采取相应行动。两个特别重要的标准应运而生,它们是《WP.29网络安全车辆条例》和《ISO/SAE 21434》,下面我们来详细介绍:

1. WP.29网络安全车辆条例

20世纪50年代,联合国欧洲经济委员会(UNECE)成立了WP.29,其使命是确保汽车制造商达到有关汽车安全、质量和环境影响的标准。2021年初,WP.29发布了联合国第155号条例——网络安全和网络安全管理系统。

 

根据UNECE网站上的介绍,该条例有以下几项主要内容:

①通过供应链收集和核实本条例所要求的信息,以表明与供应商相关的风险得到识别和管理。

②记录风险评估(在开发阶段或回顾阶段进行)、测试结果和适用于车辆类型的缓解措施,包括支持风险评估的设计信息。

③在设计车辆类型时采取适当的网络安全措施。

④检测并应对可能的网络安全攻击。

⑤记录数据,以支持检测网络攻击,并提供数据取证能力,以便能够分析未遂或成功的网络攻击。

2.ISO/SAE 21434:道路车辆网络安全工程

ISO(国际标准组织)和SAE(汽车工程学会)目前正在为汽车行业的网络安全风险管理开发一个框架。根据SAE官网上呈现的内容,该标准的范围为:“本文件规定了道路车辆电器和电子(E/E)系统的概念、开发、生产、操作、维护和退役工程方面的网络安全风险管理要求,包括它们的组件和接口。”

 

同样值得注意的是,影响软件供应链的其他法规遵循标准和规章可能会在未来几年发布。我们预计这些不仅会影响汽车制造商,而且越来越多的原始设备制造商也会参与到软件供应链之中。例如,美国政府去年发布的网络安全行政命令要求向联邦政府出售产品的任何企业都必须达到供应链安全和透明度的更高标准。

三、SCA如何保证汽车软件供应链安全

考虑到汽车软件供应链的复杂性,有众多的供应商以及专有和开源组件的混合使用,没有一个单一的灵丹妙药可以确保企业100%的免受供应链威胁。但SCA(软件成分分析)可以提供很大的帮助。

SCA工具通过扫描你的代码并查找项目中包含的所有第三方依赖项,它能做到:

1.所有软件依赖项的清单,包括许可证和漏洞;

2.关于迅速有效的确定这些问题的优先次序和采取补救措施的指导意见;

3.生成SBOM,可以帮助制造商跟踪组件和版本。

鉴于汽车制造商大量使用不同来源提供的组件,第三点显得尤为重要。要求供应商提供SBOM是一个很有效的安全手段,这可以减少漏洞逃避安全检测的可能性。SCA所支持的上述功能也可以帮助汽车制造商满足开源许可证合规性方面的需求。

四、保护汽车软件供应链

汽车产业的创新已近导致了对电子和软件组件的日益依赖。鉴于供应链日益复杂,以及新的合规性要求,网络安全在汽车行业前所未有的受到关注。

随着重新评估现有的软件开发和质量保障过程,以满足日益增长的安全挑战,汽车制造商可能会考虑新的工具以提供一个额外的保护层。例如,泛联新安的CodeAnt可以发挥重要作用,以帮助汽车制造商通过识别第三方依赖中的脆弱性和风险来确保其车辆和软件生态系统的安全。

GitMore
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
汽车基础软件信息安全与AUTOSAR
酒无忧的博客
04-22 1220
随着汽车网联化和智能化,汽车不再孤立,越来越多地融入到互联网中。在这同时,汽车也慢慢成为潜在的网络攻击目标,汽车网络安全已成为汽车安全的基础,受到越来越多的关注和重视。AUTOSAR 作为目前全球范围普遍认可的汽车嵌入式软件架构,已经集成的相关信息安全模块对实现信息安全需求有着充分的支持,例如保护车内通信或保护机密数据。由于 CP AUTOSAR 和 AP AUTOSAR 的体系结构不同,目前信息安全模块的相关技术实现也存在差异。在车载网络中,CAN 总线作为常用的通讯总线之一,其大部分数据是以明文方式广
汽车软件系统中的有效安全性分析.pdf
08-06
本文提出了从宏观层面进行软件安全分析的问题, 解释了软件安全分析的必要性和实施具体步骤。 注:本文将软件错误分为概念错误和实施错误, 文中着重分析了如何使用FTA和FMEA结合的方 法进行安全分析,以鉴别概念错误及致使系统失 效的传导途径;而对实施错误可以利用ISO26262 提出的软件单元测试方法辨别。
软件定义汽车时代,OEM软件自研与供应链分工模式何解
PASSION_TECH的博客
09-22 102
随着传统车企加快智能化、网联化、电动化转型步伐,汽车已经不仅是一个交通工具,更是移动的智能空间。汽车产业的变迁,已经从“四个轱辘+沙发”,发展到“”,软件汽车领域的作用变得越来越重要。全球智能电动汽车领域的“领头羊”;以 “坚决不造车,帮车企造好车”的,通过为车企提供华为HiCar,HMS套件等配置和全套解决方案打入市场,“软件定义汽车”早已成为行业共识。决定未来汽车的是以,而不再是汽车的硬件水平。而由此带来的直接结果就是,软件人才在汽车竞争中扮演的角色日渐重要。
智能汽车行业软件供应链安全威胁与解决方案分享——小米IoT安全峰会
murphysec的博客
08-08 2314
关于软件供应链安全,整体认为是处在一个风险和关注度都比较高的状态。可预见的是在接下来的一段时间风险还会持续。想要高效的去解决这些风险,核心依赖的是能够支撑各个场景的这种检测和修复的工具,以及说像漏洞组件这样丰富的知识库数据。在 IOT 领域,尤其需要关注风险的前置解决,否则整个治理的效果效率会比较低,成本也会比较高。...
行业认证标准:ISO 26262-汽车软件功能安全标准
Pokemogo的博客
11-27 4121
什么是ISO 26262? ISO 26262“道路车辆–功能安全”是一项功能安全标准,涵盖了电气和电子汽车系统及其开发过程,包括需求规范、设计、实施、集成、验证、确认和配置。该标准通过在软件和硬件级别上指定要求来提供有关汽车安全生命周期活动的指南。 通过源代码分析和单元测试来增强ISO 26262的合规性 Parasoft用户可以利用Parasoft C/C++test通过自动执行标准所需的多种测试方法来降低达到ISO 26262法规遵从性的成本。该标准的第6部分专门针对软件级别的产品开发,Pa
2021软件供应链安全白皮书.pdf
10-22
2021软件供应链安全白皮书
软件供应链安全建设方案.pptx
04-18
供应链安全趋势 供应链安全建设方法 供应链安全分析 供应链安全能力支撑 供应链安全建设方法 供应链安全部署等等
2023年中国软件供应链安全分析报告
08-24
在企业软件开发中的开源软件应用部分新增了对不同行业软件项目开源使用风险的分析,对开源许可协议的风险分析分别统计了超危和高危开源许可协议的使用情况;在典型软件供应链安全风险实例部分,通过多个新的实例再次...
软件供应链安全治理与运营白皮书
02-02
软件供应链安全治理与运营白皮书
开源软件供应链安全风险研究报告
07-05
从开源漏洞发展现状及趋势、开源组件生态安全风险分析、组件漏洞依赖层级传播范围分析、开源文件潜在漏洞风险传播分析等4个角度对国内软件供应链安全做了调研工作
汽车软件刷新——当前安全访问策略的缺陷及改进方案
Lincanman的博客
02-24 1645
一、背景: 在汽车ECU软件中,如果需要依靠汽车总线(如CAN)刷新CPU里面的程序时,必须要通过安全访问,从而防止非法的刷新程序操作导致车辆安全(例如,黑客攻击)。在车联网以前,车辆总线是一个自封闭的网络,黑客通过远程电脑控制汽车在物理上是不可能的,除非亲自在汽车里操作或者首先在汽车的OBD接口上安装无线设备再远程操控。随着车联网时代的到来,越来越多的车辆会选择远程云端刷新程序,从而及时修补程序...
车联网时代 汽车软件安全与驾驶安全同等重要
SIGinChina的博客
02-28 1707
作者:新思科技软件质量与安全部门亚太区董事总经理陈玉贞近年来,车联网、无人驾驶汽车等依托于新技术的汽车应用发展迅猛。随着物联网技术日渐成熟,车联网服务将逐步实现车内、车与人、车与车、车与路、车与服务平台的多方位网络连接。此时,也延伸出了新的安全问题 —— 联网汽车软件安全。毕竟联网汽车软件出现问题,可能会导致严重的人身伤害,其重要程度不亚于驾驶安全。美国新思科技公司  (Synopsys, Na...
如何保障自动驾驶汽车软件安全性?这个软件或成为关键
mnrssj的博客
08-24 284
如今,汽车制造商正面临着新技术带来的软件挑战。随着智能驾驶、新能源汽车和车联网等技术的飞速发展,“软件定义汽车”已是大势所趋。安全性将成为未来汽车开发中的一个关键因素。 一个例子是自动驾驶和汽车网络与智能城市中的其他智能设备进行通信,需要转达官方停车规则、速度限制和其他动态交通变化,包括道路关闭、交通堵塞和改道。 随着汽车行业从运输行业向技术行业的转变,数据的可靠性、安全性和质量是至关重要的。 保证汽车软件质量的必要条件 随着复杂性增强、软件内容以及机电层面实现的趋势,系统化的失效以及随机硬件失
汽车安全攻击篇:智能网联系统的短板,如何防护汽车安全
热门推荐
奥特曼超人的博客专栏
04-02 1万+
在《速度与激情》里,经常可以看到主角们利用网络侵入汽车网络系统,然后任意的操纵这些车辆,看电影的时候会被画面所震撼到,这两年“自动驾驶”随着特斯拉的车已经越来越普及了,Model 3都国产化了, 今天我们就来了解下汽车侵入的方式和原理。 现在我们的汽车基本都是电子系统,包括智能网联系统、电子换挡、电动助力转向、刹车辅助,尤其是一些纯电动汽车基本都是联网的。 既然是联网,那必然存在着连接和物理硬件设...
AUTOSAR 基础软件的内在安全
选择的专栏
12-03 8147
新近建立的汽车标准ISO 26262定义了开发安全相关的ECU软件的过程。对于各个的软件组件来说,都需要具有高等级的内在安全性,来确保得到的系统级的安全目标能符合标准。这对于出错的情况下,防止发生潜在的危险情况,也是必要的。
汽车功能安全 - 软件开发
07-20 1083
With the trend of increasing technological complexity, software content and mechatronic implementation, there are increasing risks from systematic failures and random hardware failures. ISO 2626...
SD-WAN怎样保障网络稳定
TIANGEKUAJING的博客
04-25 566
随着企业网络的日益复杂,如何确保线路的稳定性和高效性成为了网络管理的一大挑战。尤其是在线路出现故障、质量下降或拥塞时,如何快速响应并切换到最佳线路,就显得尤为重要。SD-WAN,作为一种新型的网络架构,为用户提供了灵活应对各种网络问题的能力。
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
最新发布
fiberroad的博客
04-30 225
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 178
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
软件供应链安全白皮书 pdf
07-06
软件供应链安全白皮书是一份关于软件供应链安全的重要文档,通常以PDF格式发布。这份白皮书旨在提供关于软件供应链安全的背景信息、风险评估以及相关的最佳实践和建议。 首先,白皮书会介绍软件供应链,这是指软件开发和发布过程中涉及到的各种组织和个人。由于软件供应链中的某个环节可能受到威胁,因此确保软件供应链安全至关重要。 然后,白皮书会分析软件供应链中的安全风险。这些风险可以包括恶意软件、漏洞利用、未经授权的访问、数据泄露等。通过理解这些风险,组织可以更好地识别和应对潜在的威胁。 接下来,白皮书将分享一些软件供应链安全的最佳实践和建议。这些包括确保软件开发过程中的安全性、审查和验证第三方软件安全性、建立安全的交付和更新机制等。这些实践和建议可以帮助组织确保他们使用的软件供应链是可信的和安全的。 最后,白皮书还可能提供一些关于软件供应链安全的案例研究,以及相关的法律合规要求。这能够帮助组织更好地理解软件供应链安全领域的现状和挑战。 总之,软件供应链安全白皮书是一份重要的指南,可以帮助组织更好地理解和应对软件供应链安全的挑战。通过遵循其中的最佳实践和建议,组织可以提高软件供应链安全性,降低遭受威胁的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GitMore

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值