首頁(yè)|必讀|視頻|專訪|運(yùn)營(yíng)|制造|監(jiān)管|大數(shù)據(jù)|物聯(lián)網(wǎng)|量子|元宇宙|博客|特約記者
手機(jī)|互聯(lián)網(wǎng)|IT|5G|光通信|人工智能|云計(jì)算|芯片報(bào)告|智慧城市|移動(dòng)互聯(lián)網(wǎng)|會(huì)展
首頁(yè) >> 技術(shù) >> 正文

新思科技:在智能網(wǎng)聯(lián)汽車中構(gòu)建軟件安全性及可靠性完整生命周期都需系緊“安全帶”

2021年10月26日 16:15  CCTIME飛象網(wǎng)  

現(xiàn)代汽車越來(lái)越多地成為敏感個(gè)人數(shù)據(jù)的移動(dòng)接入點(diǎn)。然而,源代碼和設(shè)計(jì)的弱點(diǎn)、未打補(bǔ)丁的漏洞和應(yīng)用安全實(shí)踐不足都能將現(xiàn)代汽車軟件和客戶數(shù)據(jù)置于風(fēng)險(xiǎn)之中。

短短幾十年,車輛已經(jīng)從使用機(jī)械系統(tǒng)發(fā)展為電氣/電子系統(tǒng)。近年來(lái),基于軟件系統(tǒng)的智能網(wǎng)聯(lián)汽車開始普及,而且自動(dòng)駕駛汽車被視為新趨勢(shì)。新思科技指出雖然自動(dòng)駕駛汽車有許多便利,并提升用戶體驗(yàn),但是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不容忽視。無(wú)論是人身安全還是隱私數(shù)據(jù)都需要采取全周期的保護(hù)措施。

自動(dòng)駕駛汽車的安全性和隱私合規(guī)

新思科技首席汽車安全策略師Dennis Kengo Oka博士介紹道:“一輛半自動(dòng)駕駛汽車可以包含超過 3 億行代碼;估計(jì)一輛完全自動(dòng)駕駛汽車將包含10 多億行代碼。大型軟件代碼庫(kù)的使用迅速增加,再加上人工智能、激光雷達(dá)、傳感器、攝像頭、V2X 和 5G 等新技術(shù)和接口的采用,導(dǎo)致自動(dòng)駕駛汽車的攻擊面增加!

Dennis Kengo Oka博士舉例道,自動(dòng)駕駛汽車使用傳感器和攝像頭收集和處理周圍環(huán)境的信息,使用人工智能來(lái)控制轉(zhuǎn)向、制動(dòng)和加速等。需要注意的是,不法分子可以通過提供惡意信息輸入,發(fā)起攻擊。

如果攻擊者可以控制或破壞在高速公路上行駛的一輛或多輛自動(dòng)駕駛汽車,可能會(huì)導(dǎo)致災(zāi)難性后果。此外,網(wǎng)絡(luò)攻擊還可能會(huì)導(dǎo)致財(cái)務(wù)信息或隱私泄露。例如,自動(dòng)駕駛汽車可能包含敏感和有價(jià)值的數(shù)據(jù),例如預(yù)先輸入的家庭和工作地址以及最近旅行路線。而且,自動(dòng)駕駛汽車攝像頭可能會(huì)存儲(chǔ)車輛周圍環(huán)境的圖像,包括住所或工作場(chǎng)所。

法律法規(guī)頒布規(guī)范智能網(wǎng)聯(lián)汽車市場(chǎng)

在中國(guó),與智能手機(jī)類似,智能網(wǎng)聯(lián)汽車和自動(dòng)駕駛汽車領(lǐng)域也已經(jīng)出臺(tái)或者正在制定相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn),以保護(hù)人身安全和隱私數(shù)據(jù)。例如《信息安全技術(shù) 車載網(wǎng)絡(luò)設(shè)備信息安全技術(shù)要求》、《數(shù)據(jù)安全法》及《工業(yè)與信息化部門關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》等等。

2021年8月正式發(fā)布的ISO/SAE 21434 是聯(lián)合國(guó)網(wǎng)絡(luò)安全法規(guī) UN R155 的關(guān)鍵支撐標(biāo)準(zhǔn),定義了汽車電子電氣系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理要求,覆蓋概念、開發(fā)、生產(chǎn)、運(yùn)維、報(bào)廢等全生命周期各個(gè)階段。符合 ISO/SAE 21434 標(biāo)準(zhǔn)可以幫助汽車制造商和零部件供應(yīng)商,尤其是要開拓國(guó)際市場(chǎng)的企業(yè),滿足全球汽車網(wǎng)絡(luò)安全管理法規(guī)要求。

新思科技軟件質(zhì)量與安全部門高級(jí)安全架構(gòu)師楊國(guó)梁表示:“安全需要貫穿整個(gè)汽車完整生命周期,從需求、架構(gòu)、軟件設(shè)計(jì)、測(cè)試、上市、運(yùn)營(yíng)等等,以滿足法律法規(guī)的需求和保障客戶及其隱私的安全。在智能網(wǎng)聯(lián)時(shí)代,軟件可以定義汽車安全!

導(dǎo)致汽車軟件/技術(shù)/組件中出現(xiàn)漏洞的主要原因

新思科技公司與國(guó)際自動(dòng)機(jī)工程師學(xué)會(huì)(SAE International)聯(lián)合發(fā)布的《保護(hù)現(xiàn)代車輛的安全:汽車工業(yè)網(wǎng)絡(luò)安全實(shí)踐研究》報(bào)告顯示,導(dǎo)致汽車軟件/技術(shù)/組件中出現(xiàn)漏洞的主要原因包括缺乏對(duì)安全編碼時(shí)間的理解/培訓(xùn)(60%);意外的編碼錯(cuò)誤(55%);缺乏質(zhì)量保證和測(cè)試程序(50%);使用不安全/過時(shí)的開源組件(40%)。

由此可見,編碼、測(cè)試、開源軟件很大程度上影響了智能網(wǎng)聯(lián)汽車的安全性。幸運(yùn)的是,現(xiàn)在已經(jīng)有許多自動(dòng)化工具可以幫助制造商應(yīng)對(duì)這些挑戰(zhàn)。

諸如Coverity®靜態(tài)應(yīng)用安全測(cè)試等工具可以在不運(yùn)行軟件的情況下分析源代碼。這些工具可以幫助發(fā)現(xiàn)緩沖區(qū)溢出、信息泄漏、內(nèi)存損壞和代碼中的其它缺陷。靜態(tài)分析工具還可以根據(jù)相關(guān)編碼標(biāo)準(zhǔn)檢查軟件,例如 MISRA C/C++、AUTOSAR C++ 和 CERT C/C++。此外,Black Duck®軟件組成分析工具可以檢測(cè)目標(biāo)系統(tǒng)開源組件中的已知漏洞。這種源代碼或二進(jìn)制文件的自動(dòng)掃描可識(shí)別開源組件、開源組件的版本以及相關(guān)的已知漏洞。模糊測(cè)試、滲透測(cè)試等工具可以在服務(wù)和協(xié)議中識(shí)別缺陷以及零日漏洞,搶在黑客攻擊之前找出應(yīng)用和服務(wù)中的漏洞。

楊國(guó)梁總結(jié)道:“汽車軟件變得越來(lái)越復(fù)雜,連接性也更強(qiáng)。而且,汽車功能不斷推陳出新,促使了非結(jié)構(gòu)化的軟件的增加。如果只是為了盡快上市而忽視安全,就會(huì)導(dǎo)致組裝汽車面臨不可預(yù)見的安全漏洞,給用戶帶來(lái)隱私泄露風(fēng)險(xiǎn)甚至人身安全威脅。汽車供應(yīng)鏈需要在設(shè)計(jì)階段就引入安全屬性,是為了從源頭上盡量規(guī)避、解決這類問題,把風(fēng)險(xiǎn)控制在產(chǎn)品推出市場(chǎng)之前。這也就是我們常說的安全‘左移’,在智能網(wǎng)聯(lián)汽車研發(fā)早期就緊緊系好‘安全帶’!

編 輯:章芳
聲明:刊載本文目的在于傳播更多行業(yè)信息,本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。如網(wǎng)站內(nèi)容涉及作品版權(quán)和其它問題,請(qǐng)?jiān)?0日內(nèi)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除內(nèi)容。本站聯(lián)系電話為86-010-87765777,郵件后綴為#cctime.com,冒充本站員工以任何其他聯(lián)系方式,進(jìn)行的“內(nèi)容核實(shí)”、“商務(wù)聯(lián)系”等行為,均不能代表本站。本站擁有對(duì)此聲明的最終解釋權(quán)。
相關(guān)新聞              
 
人物
工信部張?jiān)泼鳎捍蟛糠謬?guó)家新劃分了中頻段6G頻譜資源
精彩專題
專題丨“汛”速出動(dòng) 共筑信息保障堤壩
2023MWC上海世界移動(dòng)通信大會(huì)
中國(guó)5G商用四周年
2023年中國(guó)國(guó)際信息通信展覽會(huì)
CCTIME推薦
關(guān)于我們 | 廣告報(bào)價(jià) | 聯(lián)系我們 | 隱私聲明 | 本站地圖
CCTIME飛象網(wǎng) CopyRight © 2007-2024 By CCTIME.COM
京ICP備08004280號(hào)-1  電信與信息服務(wù)業(yè)務(wù)經(jīng)營(yíng)許可證080234號(hào) 京公網(wǎng)安備110105000771號(hào)
公司名稱: 北京飛象互動(dòng)文化傳媒有限公司
未經(jīng)書面許可,禁止轉(zhuǎn)載、摘編、復(fù)制、鏡像