如今汽车产业智能化、网联化、电动化、共享化的“新四化”程度逐渐深入,“软件定义汽车”也被反复提及。以硬件主导的传统汽车演变为以软件主导、软硬解耦的新汽车。“中国亟需构建智能网联汽车安全可信的软件生态。”中国工程院院士沈昌祥此前曾表示,没有软件安全,就无法成就智能网联生态。
近年来,国内外汽车行业软件供应链安全问题频发。2023年11月初,中国某汽车零部件供应商汽车遭到了勒索软件攻击,导致其内饰供应系统受到影响,对北美的汽车制造供应链产生了直接的连锁反应,导致几家北美工厂生产中断。提升软件供应链安全性,对于汽车行业而言迫在眉睫。
01/ 汽车行业软件供应链安全典型风险
汽车是一个非常典型的强供应链行业,汽车制造依赖于众多供应商提供的软件组件,每个环节的质量都会直接影响最终产品的质量。
1、第三方供应商风险
供应商可能来自不同的地区、国家,甚至全球范围,这增加了供应链的复杂性。管理多个供应商之间的合作和沟通,确保他们的产品符合安全标准并维持良好的供应关系,是一项巨大挑战。近年来受疫情、国际局势等因素影响,汽车供应链屡受冲击,卡点、堵点、断点问题频现。
2、OTA升级(汽车远程升级)缺陷
中国软件评测中心相关测试结果表明:60%的被测车辆具备OTA功能,其中超九成都存在OTA升级缺陷,包括云端服务非授权访问、软件升级包未做签名校验、通信链路明文传输等。
OTA升级是智能汽车保持最新功能和安全性的重要方式,但也为黑客提供了攻击机会。黑客可以通过各种手段,如破解加密协议、篡改软件包或攻击升级服务器,来植入恶意软件或者获取系统权限,从而危害车辆系统的安全。
3、开源安全与合规风险
汽车软件有一个常见的安全风险——使用了开源组件的不安全版本。在某些情况下,虽然漏洞已被识别并修补,但实际车辆中使用的组件却未能及时更新,仍然存在潜在的风险。
此外,开源软件的许可证管理也不能忽视,由于许可证要求的复杂性和多样性,不恰当地管理开源软件的许可证可能导致侵权行为。特别是在包含第三方软件的设备中,重新分发其源代码或二进制文件时,需要确保合法性,否则可能面临法律风险和诉讼。
02/ 汽车行业软件供应链安全治理策略
1、软件物料清单管理
类似于物料清单(BOM)在管理实物库存中的作用,为保障第三方软件的安全性,也很有必要对其软件物料清单(SBOM)进行管理。
SBOM有助于识别第三方软件中的开源组件和依赖关系,记录各种软件组件的详细信息和供应链关系,从而提高软件透明度。通过SBOM,可以做出更明智的安全决策,有效管理安全风险,并遵守安全、许可和供应商风险合规要求。
网安云软件物料清单管理平台,助力企业软件安全合规。该平台以软件版本、供应商等基本信息与软件内部组成成分信息为基础,动态关联外部安全漏洞情报,对企业软件资产进行安全跟踪与管理。平台利用强大的数据分析和多维数据可视化能力,使组件安全合规问题尽显于表面。
2、供应商安全管理
如今软件已深度参与到汽车的定义、开发、验证、服务等过程,汽车供应链体系由传统垂直分层的链式关系向专业分工的融合网状演变,供应商众多,且合作关系复杂。整个供应链环环相扣,提供软件产品或服务的供应商如出现纰漏,将可能给汽车制造、系统运行等带来极大的安全隐患。
因此,亟需在关键节点(如采购、交付、迭代等)要求供应商对软件进行全面的安全检测,并提供软件物料清单(SBOM)。
从入库前、合约前、履约期和履约后对供应商进行全生命周期安全管理。通过专业的检测技术支撑对供应商高效的落地执行,专业的检测技术支撑对供应商高效的落地执行。
参考资料:
- 《智能网联汽车安全渗透白皮书(2022)》
- 《智能汽车行业软件供应链安全风险与治理》
- 《“软件定义汽车”时代下的供应链安全》