Security is a process，not a product（安全不在于單一的產品，而是更多體現于流程）——Bruce Schneier。

新思科技中國區資深咨詢服務專家俞之浩提出，在軟件產品的全生命周期中，需要不斷對風險進行梳理、評估、分析，導出相關的安全目標與需求，最終在研發階段得到實現，并對產品進行驗證、測試、后期運營維護。當新的產品形態出現，前述所有流程需要再度經歷循環迭代，以保證軟件全生命周期的安全性。

新思科技中國區資深咨詢服務專家俞之浩

ISO/SAE 21434基于汽車軟件開發全鏈條的網絡安全管理標準

隨軟件定義汽車時代的到來，一方面，車內軟件代碼急劇增加，系統復雜度提升的同時，漏洞出現的頻率也直線上升，卡耐基梅隆大學軟件工程學院研究數據表明：常規水平下，每百萬行代碼大約有6000個缺陷或漏洞；在優異水平下，每百萬行代碼也會有600個以內的漏洞。另一方面，網聯化使得汽車同外界互聯的端口增多，云端、手機端、無線通訊接口、車載網絡、外接設備都可能成為汽車的被攻擊面。

因此，行業內對于汽車軟件安全開發與維護的重視度也在不斷提升。2021年8月，汽車信息安全領域首個國際標準ISO/SAE 21434正式發布，該文件定義了汽車電子電氣系統的網絡安全風險管理要求，覆蓋概念、開發、生產、運維、報廢等全生命周期的各個階段，針對安全編碼規范、安全功能相關測試、風險相關測試等部分闡明標準與提供指導。涉及“如何在傳統車輛開發模型中嵌入安全相關的具體控制節點”;“如何將安全開發生命周期的流程嵌入現有的產品開發生命周期中”等行業難點。

圖片來源：新思科技

俞之浩特別提到，除了開發生命周期管理以外，ISO/SAE 21434也強調車輛運行周期中的安全管理，提出建立覆蓋汽車全生命周期的常態化、長效安全的管理模式。

ISO/SAE 21434總共被劃分為15個章節，前5-7章從宏觀上闡述了車輛網絡安全的總體要求：包含整體網絡安全管理、基于項目的網絡安全管理、持續網絡安全活動。后續7章依據汽車全生命周期，定義了威脅分析與風險評估、概念開發、驗證、生產、運維等各環節的汽車網絡安全要求。

TARA、CAL、基于風險的相關測試

俞之浩著重對其中的兩個關鍵部分進行了介紹：首先是概念開發階段的威脅分析與風險評估（Threat Analysis and Risk Assessment，以下簡稱TARA），以及TARA相關的網絡安全保障等級（CAL）。二是產品開發階段中基于風險的模糊測試與滲透測試。

具體而言，TARA的目的是在車輛產品開發早期識別潛在威脅和安全漏洞，綜合考慮攻擊性大小、影響范圍等因素，確定系統可能存在的風險以及風險等級，從而得出相應的網絡安全目標。TARA需要進行七個步驟：資產定義、威脅場景分析、影響等級、攻擊路徑分析、攻擊可行性等級、風險確定、風險處置決策。

ISO/SAE 21434為每項資產（Asset）指定了一個網絡安全保障等級（CAL）。雖然車機搭載芯片的算力迭代速度極快，但隨著智能電動化的發展，每輛車上的算力資源需要用于車控、網關、智駕、智能座艙、網絡安全等多個領域。因此需要合理統籌，將“好鋼用在刀刃上”。俞之浩表示，CAL意在對資產的不同安全等級進行劃分和定義，結合TARA導出的安全目標，CAL等級就可以被集成至網絡安全需求中，為開發團隊提供資源分配上的決策依據。

圖片來源：新思科技

開發階段的測試又可以被分成兩種不同類型：一種是安全功能性測試；另一種測試則基于風險進行，包含模糊測試、滲透測試等方式。其中模糊測試主要是向系統注入非法、畸形或非預期的輸入，以揭示軟件缺陷和漏洞，這種安全漏洞“掃雷”的方式通常依賴自動化軟件工具達成目的。

滲透測試則需要測試人員從系統攻擊者的角度思考，屬于在計算機系統上進行的授權模擬攻擊，旨在對系統安全性進行評估。滲透測試人員使用與攻擊者相同的工具、技術和流程，來查找和展示系統弱點可能帶來的影響。

俞之浩表示，網絡安全團隊可以將以上幾項環節有機結合，基于流程地去達成安全管理目標。比如，首先進行靜態安全代碼掃描與模糊測試，發現代碼中的潛在漏洞，再將報告結果披露給滲透測試方，從而使其能夠更有針對性地進行模擬攻擊。

圖片來源：新思科技

俞之浩表示，只有完成各個環節的安全要求，才能形成組織化的安全能力，進而在概念開發、驗證、生產、運維等全流程鏈條的網絡安全管理上實現協同效應。

TARA、靜態代碼分析、漏洞掃描、模糊測試、滲透測試等具體安全活動的實操要點

ISO/SAE 21434標準中涉及了六項具體安全活動：TARA、靜態代碼分析、漏洞掃描、模糊測試、滲透測試以及網絡安全的監控。俞之浩針對每一項活動展開闡述，結合新思科技的行業經驗，著重介紹了這六項具體安全活動在實操中的注意點。俞之浩看來，自動化軟件的運用、基于流程的思維方式、策略性地統籌規劃、常態化地安全監控是網絡安全管理的四大關鍵點。

俞之浩表示，TARA非常依賴分析師的經驗與企業的自身積累。除此以外，網絡安全團隊也可以利用自動化工具驅動，完成TARA實施中涉及計算的相關步驟，減少人為的誤差和不確定性，保證不同的分析人員能夠推導出一致性的結果。此外，如果需要實施TARA，企業需要整合并維護模板、漏洞等數據庫。

值得注意的是，TARA的實施必須基于產品的全開發流程。從循環狀流程圖可以看出，TARA會滲透在網絡安全管理的全生命周期中，需要隨時反映軟件的所有變化，以及這些變化對產品安全所造成的未知影響。

圖片來源：新思科技

靜態代碼掃描尤其依賴自動化工具，值得慶幸的是，業內已經有許多自動化工具可以幫助制造商應對這些挑戰，例如，新思科技所提供的Coverity?靜態應用安全測試工具就可以在不運行軟件的情況下分析源代碼，可以幫助發現緩沖區溢出、信息泄漏、內存損壞和代碼中的其它缺陷。類似于靜態代碼掃描，漏洞掃描同樣依賴自動化軟件工具，比如Black Duck?軟件組成分析工具就可以檢測目標系統開源組件中的已知漏洞。俞之浩特別補充，自動化工具運用也需要結合具備策略性的實施方案。

基于風險的模糊測試、滲透測試可以搶在黑客攻擊之前找出應用和服務中的漏洞。其中模糊測試更多是去針對接口和系統內部邏輯， 滲透測試則已經得到了業內的廣泛應用。值得注意的是，除了自動化工具、策略性的應用之外，要達到網絡安全管理，企業還需要配合進行常態化的網絡安全監控與反饋。

俞之浩補充，越來越多構建云原生應用的企業在采取以開發人員為中心的安全策略和安全“左移”，以便開發人員能夠盡量在開發生命周期早期進行安全測試。

安全不在于單一的產品，而是更多體現于流程。如何達到這個目的，新思科技也提出了相關策略。比如說，軟件開發階段由于代碼巨量而導致漏洞掃描時間過長，這在一定程度上會影響交付的進度。新思科技通過建立軟件安全構建成熟度模型（BSIMM），將安全風險以數字化和可視化的方式進行呈現，通過分析和儲存大量的網絡安全項目的數據，以“他山之石”幫助企業更具策略性地針對風險等級較高的模塊進行掃描，降低其他模塊的掃描頻率，從而加快項目進度。

圖片來源：新思科技

軟件安全構建成熟度模型（BSIMM）不僅可以應用于以上領域，作為新思科技推出的測量和評估軟件安全計劃工具，BSIMM首版于2008年推出，通過收集大量企業在網絡安全管理上的真實數據，打造開放的標準，旨在建立基于軟件安全實踐模塊的框架，幫助企業規劃、執行、評估和完善其軟件安全計劃，協助企業同其他網絡安全團隊做橫向與縱向的比較，BSIMM迄今已迭代12個版本。

（以上內容根據新思科技中國區資深咨詢服務專家俞之浩于2022年8月25日由蓋世汽車主辦的2022中國汽車信息安全與功能安全大會發表的《ISO/SAE 21434時代的安全汽車軟件開發》主題演講進行理解和整理。）

返回第一電動網首頁 >