<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁(yè) > 汽車(chē)電子 > 業(yè)界動(dòng)態(tài) > 新思科技探討“軟件定義汽車(chē)”時(shí)代下的供應(yīng)鏈安全

          新思科技探討“軟件定義汽車(chē)”時(shí)代下的供應(yīng)鏈安全

          作者: 時(shí)間:2022-09-16 來(lái)源:電子產(chǎn)品世界 收藏

          智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)發(fā)展的關(guān)鍵在于質(zhì)量、安全、速度、效益等方面相統(tǒng)一,推動(dòng)全產(chǎn)業(yè)鏈發(fā)展。在“”時(shí)代下,構(gòu)建可信軟件,保障軟件,才能提升產(chǎn)業(yè)鏈供應(yīng)鏈韌性。

          本文引用地址:http://www.ex-cimer.com/article/202209/438284.htm

           

          (Synopsys)應(yīng)邀參加2022世界智能網(wǎng)聯(lián)汽車(chē)大會(huì)(WICV 2022),并在917日舉辦的“產(chǎn)業(yè)鏈價(jià)值鏈提升”主題峰會(huì)上發(fā)表演講,聚焦網(wǎng)聯(lián)汽車(chē)軟件,探討如何提升軟件供應(yīng)鏈韌性,助推智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)高質(zhì)量發(fā)展。

           

          WICV 2022916日至19日在北京舉行。大會(huì)由北京市人民政府、工業(yè)和信息化部、公安部、交通運(yùn)輸部和中國(guó)科學(xué)技術(shù)協(xié)會(huì)主辦,全力打造全球范圍規(guī)模大、級(jí)別高、影響力強(qiáng)的交流平臺(tái),為世界智能網(wǎng)聯(lián)汽車(chē)發(fā)展提供中國(guó)方案。WICV 2022主題為“智能加速度,網(wǎng)聯(lián)新生態(tài)”。

           

          首席汽車(chē)安全策略師Dennis Kengo Oka博士以《網(wǎng)聯(lián)汽車(chē)軟件》為主題,分享了在“”時(shí)代,網(wǎng)聯(lián)汽車(chē)相關(guān)的安全風(fēng)險(xiǎn)以及業(yè)界應(yīng)如何應(yīng)對(duì)安全挑戰(zhàn)。期望與業(yè)界共同重塑產(chǎn)業(yè)供應(yīng)鏈軟件安全體系,構(gòu)建網(wǎng)聯(lián)汽車(chē)新生態(tài)。

           

          Dennis Kengo Oka博士介紹到:“隨著軟件的大量應(yīng)用,網(wǎng)聯(lián)汽車(chē)生態(tài)系統(tǒng)成為可能。過(guò)去,一輛汽車(chē)包含一億行代碼,不久的未來(lái)將達(dá)到10億行代碼。軟件開(kāi)發(fā)方式也日新月異 。現(xiàn)在,采用DevSecOps逐步成為趨勢(shì),保持開(kāi)發(fā)速度的同時(shí),能夠在開(kāi)發(fā)流程的早期發(fā)現(xiàn)漏洞以降低成本。而且,車(chē)企也在使用靜態(tài)代碼分析、軟件組成分析、模糊測(cè)試、動(dòng)態(tài)應(yīng)用安全測(cè)試等各種工具實(shí)現(xiàn)大批量測(cè)試自動(dòng)化。汽車(chē)‘新四化’包括電動(dòng)化、網(wǎng)聯(lián)化、智能化、共享化,賦予了汽車(chē)產(chǎn)業(yè)發(fā)展的無(wú)限可能。與此同時(shí),安全無(wú)小事,尤其是網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)軟件供應(yīng)鏈復(fù)雜,潛在威脅和攻擊面也在增加?!?/span>

           

          業(yè)界需要了解與網(wǎng)聯(lián)汽車(chē)相關(guān)的安全風(fēng)險(xiǎn):

           

          首先,需要整體了解網(wǎng)聯(lián)汽車(chē)生態(tài)系統(tǒng)。網(wǎng)聯(lián)汽車(chē)有很多界面,包括多個(gè)網(wǎng)關(guān)和外設(shè),例如遠(yuǎn)程通信控制單元(TCU)和車(chē)載信息娛樂(lè)系統(tǒng)(IVI)。這些設(shè)備與互聯(lián)平臺(tái)進(jìn)行通信,比如后端服務(wù)、云服務(wù)、移動(dòng)設(shè)備和應(yīng)用等。因此,不法分子可以針對(duì)外設(shè)進(jìn)行直接攻擊,或者通過(guò)系統(tǒng)漏洞進(jìn)行間接攻擊。

           

          再者,軟件數(shù)量的爆炸式增長(zhǎng),意味著需要治理的軟件增多,包括自研軟件、第三方軟件或者開(kāi)源軟件。另外,車(chē)企還需要考慮供應(yīng)鏈。一家公司不可能獨(dú)立開(kāi)發(fā)所有的軟件,會(huì)使用到供應(yīng)鏈中不同方開(kāi)發(fā)的軟件。

           

           

          還有,合規(guī)性也不容忽視。智能網(wǎng)聯(lián)汽車(chē)和自動(dòng)駕駛汽車(chē)領(lǐng)域已經(jīng)出臺(tái)或者正在制定相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn),以保護(hù)人身安全和隱私數(shù)據(jù),包括ISO/SAE 21434,還有OpenChain項(xiàng)目汽車(chē)工作組發(fā)布的ISO 5230標(biāo)準(zhǔn)等。這些標(biāo)準(zhǔn)定義了汽車(chē)電子電氣系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理要求,面向開(kāi)源軟件許可證提出了要求。車(chē)企,尤其是那些開(kāi)拓海外市場(chǎng)的汽車(chē)制造商,不僅需要克服技術(shù)挑戰(zhàn),管理軟件開(kāi)發(fā)生命周期和供應(yīng)鏈中的風(fēng)險(xiǎn),還要確保軟件符合客戶及監(jiān)管機(jī)構(gòu)的重要國(guó)際標(biāo)準(zhǔn)。中國(guó)也已完成第一階段智能網(wǎng)聯(lián)汽車(chē)標(biāo)準(zhǔn)體系的建設(shè),未來(lái)將新增100余項(xiàng)智能網(wǎng)聯(lián)汽車(chē)的標(biāo)準(zhǔn)。

           

          新思科技建議智能網(wǎng)聯(lián)車(chē)企至少需要做到以下三點(diǎn),以應(yīng)對(duì)軟件供應(yīng)鏈挑戰(zhàn):

           

          1.        提升軟件透明度。汽車(chē)制造業(yè)會(huì)創(chuàng)建物料清單,記錄各種原料、零部件等詳細(xì)細(xì)節(jié)。軟件物料清單 (SBOM)對(duì)于軟件安全治理來(lái)說(shuō)也是不可或缺的,可以記錄用于構(gòu)建軟件的各種組件的詳細(xì)信息和供應(yīng)鏈關(guān)系等,提升軟件透明度。SBOM有多種格式,包括SPDX、SWIDCycloneDX等。業(yè)界對(duì)SBOM的關(guān)注度與日俱增,美國(guó)國(guó)家電信與信息管理局在2021年發(fā)布文件,規(guī)定了軟件材料清單最少包括哪些要素。

           

          2.        落實(shí)軟件供應(yīng)鏈各方職責(zé)。軟件已經(jīng)深度參與到汽車(chē)的定義、開(kāi)發(fā)、驗(yàn)證、服務(wù)等過(guò)程中。很常見(jiàn)的一個(gè)場(chǎng)景是,供應(yīng)鏈二級(jí)供應(yīng)商為一級(jí)供應(yīng)商提供軟件,一級(jí)供應(yīng)商將軟件集成到系統(tǒng)應(yīng)用,然后將其提供給原始設(shè)備制造商。整個(gè)供應(yīng)鏈環(huán)環(huán)相扣,明確各方的職責(zé)可以減少疏漏,比如規(guī)定須由哪方進(jìn)行威脅分析和風(fēng)險(xiǎn)評(píng)估(TARA)等。

           

          3.        信任,但要核查。當(dāng)車(chē)企考慮如何處理軟件供應(yīng)鏈風(fēng)險(xiǎn)時(shí),可以選擇兩種做法,尤其是供應(yīng)商只提供二進(jìn)制文件的情況下:完全相信供應(yīng)商所說(shuō)的二進(jìn)制文件中實(shí)際包含的內(nèi)容;可以運(yùn)行軟件組成分析工具,例如新思科技Black Duck軟件組成分析,并進(jìn)行二進(jìn)制掃描以識(shí)別包含的組件。

           

          新思科技中國(guó)區(qū)軟件應(yīng)用安全業(yè)務(wù)總監(jiān)楊國(guó)梁總結(jié)道:“中國(guó)正在促進(jìn)智能網(wǎng)聯(lián)汽車(chē)與相關(guān)行業(yè)融合發(fā)展,以滿足建設(shè)汽車(chē)強(qiáng)國(guó)的需要。在未來(lái)行業(yè)競(jìng)爭(zhēng)中,智能網(wǎng)聯(lián)汽車(chē)安全將是企業(yè)重要的核心競(jìng)爭(zhēng)力,尤其是軟件安全,因?yàn)椤?a class="contentlabel" href="http://www.ex-cimer.com/news/listbylabel/label/軟件定義汽車(chē)">軟件定義汽車(chē)’已經(jīng)成為業(yè)界共識(shí)。軟件安全會(huì)成為影響消費(fèi)者決策的重要因素,也是推動(dòng)產(chǎn)業(yè)長(zhǎng)久、穩(wěn)定發(fā)展的驅(qū)動(dòng)力。當(dāng)然,這不是任何一家車(chē)企、供應(yīng)商或者科技公司可以單獨(dú)完成的;而是需要建立完善的流程和機(jī)制,采用可靠的工具,才能提產(chǎn)業(yè)鏈供應(yīng)鏈的韌性,進(jìn)而為網(wǎng)聯(lián)汽車(chē)構(gòu)筑安全底座?!?/span>

           



          評(píng)論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();