首页 > 其他分享 >“软件定义汽车”时代下的软件供应链安全

“软件定义汽车”时代下的软件供应链安全

时间:2024-02-29 10:46:49浏览次数:25  
标签:定义 管理 供应商 安全 供应链 汽车 软件

如今汽车产业智能化、网联化、电动化、共享化的“新四化”程度逐渐深入,“软件定义汽车”也被反复提及。以硬件主导的传统汽车演变为以软件主导、软硬解耦的新汽车。“中国亟需构建智能网联汽车安全可信的软件生态。”中国工程院院士沈昌祥此前曾表示,没有软件安全,就无法成就智能网联生态。

近年来,国内外汽车行业软件供应链安全问题频发。2023年11月初,中国某汽车零部件供应商汽车遭到了勒索软件攻击,导致其内饰供应系统受到影响,对北美的汽车制造供应链产生了直接的连锁反应,导致几家北美工厂生产中断。提升软件供应链安全性,对于汽车行业而言迫在眉睫。

一、汽车行业软件供应链安全典型风险

汽车是一个非常典型的强供应链行业,汽车制造依赖于众多供应商提供的软件组件,每个环节的质量都会直接影响最终产品的质量。

1、第三方供应商风险

供应商可能来自不同的地区、国家,甚至全球范围,这增加了供应链的复杂性。管理多个供应商之间的合作和沟通,确保他们的产品符合安全标准并维持良好的供应关系,是一项巨大挑战。近年来受疫情、国际局势等因素影响,汽车供应链屡受冲击,卡点、堵点、断点问题频现。

2、OTA升级(汽车远程升级)缺陷

中国软件评测中心相关测试结果表明:60%的被测车辆具备OTA功能,其中超九成都存在OTA升级缺陷,包括云端服务非授权访问、软件升级包未做签名校验、通信链路明文传输等。

OTA升级是智能汽车保持最新功能和安全性的重要方式,但也为黑客提供了攻击机会。黑客可以通过各种手段,如破解加密协议、篡改软件包或攻击升级服务器,来植入恶意软件或者获取系统权限,从而危害车辆系统的安全。

3、开源安全与合规风险

汽车软件有一个常见的安全风险——使用了开源组件的不安全版本。在某些情况下,虽然漏洞已被识别并修补,但实际车辆中使用的组件却未能及时更新,仍然存在潜在的风险。

此外,开源软件的许可证管理也不能忽视,由于许可证要求的复杂性和多样性,不恰当地管理开源软件的许可证可能导致侵权行为。特别是在包含第三方软件的设备中,重新分发其源代码或二进制文件时,需要确保合法性,否则可能面临法律风险和诉讼。

二、汽车行业软件供应链安全治理策略

1、软件物料清单管理

类似于物料清单(BOM)在管理实物库存中的作用,管理第三方软件的质量和安全性也很有必要进行软件物料清单(SBOM)的管理。SBOM有助于识别第三方软件中的开源组件和依赖关系,记录各种软件组件的详细信息和供应链关系,从而提高软件透明度。通过SBOM,可以做出更明智的安全决策,有效管理安全风险,并遵守安全、许可和供应商风险合规要求。

网安云软件物料清单管理平台,助力企业软件安全合规。该平台以软件版本、供应商等基本信息与软件内部组成成分信息为基础,动态关联外部安全漏洞情报,对企业软件资产进行安全跟踪与管理。利用强大的数据分析和多维数据可视化能力,平台使组件安全问题尽显于表面。

免费试用点击:软件物料清单管理平台

2、搭建完善的供应商管理体系

如今软件已深度参与到汽车的定义、开发、验证、服务等过程,汽车供应链体系由传统垂直分层的链式关系向专业分工的融合网状演变,供应商众多,且合作关系复杂。整个供应链环环相扣,任何供应商出现纰漏,都将可能给汽车制造、系统运转等带来极大的安全威胁。

因此,亟需面向供应商供应的软件系统开发、交付、上线、更新迭代等场景,设置软件供应链安全检测技术标准与检测规范。建立包括供应商管理与评价指南、供应关系组织管理指南、供应活动安全标准、供应活动管理指南、供应活动能力评价指南等。通过完善的供应商管理体系与专业的检测技术支持,从制度与技术层面降低第三方供应商安全风险。

软件供应链安全解决方案:点此咨询

参考资料:

《智能网联汽车安全渗透白皮书(2022)》

《智能汽车行业软件供应链安全风险与治理》

《“软件定义汽车”时代下的供应链安全》

标签:定义,管理,供应商,安全,供应链,汽车,软件
From: https://www.cnblogs.com/wanyunsecurity/p/18042902

相关文章

  • .net 应用程序 生成Docker映像时 dotnet restore找不到自定义源的包的问题,ContainerBu
    一、问题:我们在.net应用中生成Docker映像时,会出现ContainerBuildAndLaunch任务意外失败的问题。 查看输出窗口发现,是执行dotnetrestore时,找不到包的问题,因为我的这些包是在自己的私有源上二、解决方案:在Dockerfile文件中,在执行dotnetrestore前一行添加nuget私有源就行......
  • 变量重复定义声明会怎样??
    在同一个作用域内重复定义一个变量通常会报错。如:#include<stdio.h>intglobal_var=10;//第一次定义全局变量intmain(){intglobal_var=20;//第二次定义全局变量并赋予不同的值printf("Globalvariable:%d\n",global_var);return0;}在不同作......
  • 面向对象—【类与对象】【类的定义与对象创建】【对象的使用】【方法创建与使用】【方
    面向对象基础篇我们在前面已经学习了面向过程编程,也可以自行编写出简单的程序了。我们接着就需要认识面向对象程序设计(ObjectOrientedProgramming)它是我们在Java语言中要学习的重要内容,面向对象也是高级语言的一大重要特性。面向对象是新手成长的一道分水岭,有的人秒懂,有的人......
  • Linux 命令行下载软件
    最近跑模型需要下载,发现pythontorch自带的下载慢得跟乌龟一样,只能自己手动下载,这里记录一下。下载文件:https://download.pytorch.org/models/vit_h_14_swag-80465313.pth服务器:深研院某服务器Linux自带的wget:wgethttps://download.pytorch.org/models/vit_h_14_swag-80......
  • 《构建之法:现代软件工程》读后感3
    这本书的作者邹欣老师在微软公司工作,他在整本书中把对软件构建的方方面面都写得很清楚,包括需求,设计,开发,测试,项目管理......甚至国内很多公司都无法做到像书中说的流程那么全面和到位。作者的思路很清晰,文字也很有趣,让人欲罢不能。全书都有很大的参考价值,至少对于我目前这样的状态......
  • 面向对象—【类与对象】【类的定义与对象创建】【对象的使用】【方法创建与使用】【方
    @目录面向对象基础篇类与对象类的定义与对象创建对象的使用方法创建与使用方法进阶使用构造方法源码:Giteehttps://gitee.com/drip123456/java-seGIthubhttps://github.com/Drip123456/JavaSE专栏:JavaSE笔记专栏面向对象基础篇我们在前面已经学习了面向过程编程,也可以自......
  • kettle从入门到精通 第四十九课 ETL之kettle 自定义插件01
    1、kettle插件是什么kettle本身有足够多的转换或者job步骤,但是依然不能覆盖所有的业务场景,所以Kettle自定义插件在有些独特的业务场景可以大显身手。Kettle的插件架构使得我们可以不用修改Kettle本身代码,通过一些独立的代码就可以扩展Kettle的功能。这些独立的代码称为插件。Ke......
  • 《构建之法》读书笔记——什么是好的软件
    “什么是好的软件?一些同学认为,所谓好软件,就是软件没有缺陷(Bug),所谓软件工程,就是把软件中的Bug都消灭掉的过程。这的确是抓住了软件工程的一个要素。和软件打交道的专业人士都知道软件有“Bug”(缺陷),软件团队的很多人都整天和Bug打交道,Bug的多少可以直接衡量一个软件的开发效率、用户......
  • 卡尔曼滤波器的定义,实例和代码实现
    卡尔曼滤波器(Kalmanfilter)是一种高效的递归滤波器,能够从一系列包含噪音的测量值中估计动态系统的状态.因为不需要存储历史状态,没有复杂计算,非常适合在资源有限的嵌入式系统中使用.常用于飞行器的导引,导航及控制,机械和金融中的时间序列分析,轨迹最佳化等.卡尔曼滤......
  • FastAPI系列:自定义认证
    fromtypingimportOptional,TuplefromfastapiimportFastAPI,RequestfrompydanticimportBaseModel#通过starlette.authentication导入AuthenticationBackendfromstarlette.authenticationimportAuthenticationBackend,AuthenticationError,AuthCredentials,S......