“软件定义汽车”时代下的软件供应链安全

如今汽车产业智能化、网联化、电动化、共享化的“新四化”程度逐渐深入，“软件定义汽车”也被反复提及。以硬件主导的传统汽车演变为以软件主导、软硬解耦的新汽车。“中国亟需构建智能网联汽车安全可信的软件生态。”中国工程院院士沈昌祥此前曾表示，没有软件安全，就无法成就智能网联生态。

近年来，国内外汽车行业软件供应链安全问题频发。2023年11月初，中国某汽车零部件供应商汽车遭到了勒索软件攻击，导致其内饰供应系统受到影响，对北美的汽车制造供应链产生了直接的连锁反应，导致几家北美工厂生产中断。提升软件供应链安全性，对于汽车行业而言迫在眉睫。

一、汽车行业软件供应链安全典型风险

汽车是一个非常典型的强供应链行业，汽车制造依赖于众多供应商提供的软件组件，每个环节的质量都会直接影响最终产品的质量。

1、第三方供应商风险

供应商可能来自不同的地区、国家，甚至全球范围，这增加了供应链的复杂性。管理多个供应商之间的合作和沟通，确保他们的产品符合安全标准并维持良好的供应关系，是一项巨大挑战。近年来受疫情、国际局势等因素影响，汽车供应链屡受冲击，卡点、堵点、断点问题频现。

2、OTA升级（汽车远程升级）缺陷

中国软件评测中心相关测试结果表明：60%的被测车辆具备OTA功能，其中超九成都存在OTA升级缺陷，包括云端服务非授权访问、软件升级包未做签名校验、通信链路明文传输等。

OTA升级是智能汽车保持最新功能和安全性的重要方式，但也为黑客提供了攻击机会。黑客可以通过各种手段，如破解加密协议、篡改软件包或攻击升级服务器，来植入恶意软件或者获取系统权限，从而危害车辆系统的安全。

3、开源安全与合规风险

汽车软件有一个常见的安全风险——使用了开源组件的不安全版本。在某些情况下，虽然漏洞已被识别并修补，但实际车辆中使用的组件却未能及时更新，仍然存在潜在的风险。

此外，开源软件的许可证管理也不能忽视，由于许可证要求的复杂性和多样性，不恰当地管理开源软件的许可证可能导致侵权行为。特别是在包含第三方软件的设备中，重新分发其源代码或二进制文件时，需要确保合法性，否则可能面临法律风险和诉讼。

二、汽车行业软件供应链安全治理策略

1、软件物料清单管理

类似于物料清单（BOM）在管理实物库存中的作用，管理第三方软件的质量和安全性也很有必要进行软件物料清单（SBOM）的管理。SBOM有助于识别第三方软件中的开源组件和依赖关系，记录各种软件组件的详细信息和供应链关系，从而提高软件透明度。通过SBOM，可以做出更明智的安全决策，有效管理安全风险，并遵守安全、许可和供应商风险合规要求。

网安云软件物料清单管理平台，助力企业软件安全合规。该平台以软件版本、供应商等基本信息与软件内部组成成分信息为基础，动态关联外部安全漏洞情报，对企业软件资产进行安全跟踪与管理。利用强大的数据分析和多维数据可视化能力，平台使组件安全问题尽显于表面。

免费试用点击：软件物料清单管理平台

2、搭建完善的供应商管理体系

如今软件已深度参与到汽车的定义、开发、验证、服务等过程，汽车供应链体系由传统垂直分层的链式关系向专业分工的融合网状演变，供应商众多，且合作关系复杂。整个供应链环环相扣，任何供应商出现纰漏，都将可能给汽车制造、系统运转等带来极大的安全威胁。

因此，亟需面向供应商供应的软件系统开发、交付、上线、更新迭代等场景，设置软件供应链安全检测技术标准与检测规范。建立包括供应商管理与评价指南、供应关系组织管理指南、供应活动安全标准、供应活动管理指南、供应活动能力评价指南等。通过完善的供应商管理体系与专业的检测技术支持，从制度与技术层面降低第三方供应商安全风险。

软件供应链安全解决方案：点此咨询

参考资料：

《智能网联汽车安全渗透白皮书（2022）》

《智能汽车行业软件供应链安全风险与治理》

《“软件定义汽车”时代下的供应链安全》