2023年4月20-21日蓋世汽車與上海市國際展覽(集團)有限公司(SIEC)共同主辦第二屆中國汽車信息安全與數(shù)據(jù)安全大會上，新思科技高級安全架構(gòu)師許焱表示，汽車軟件安全面臨的挑戰(zhàn)有五大挑戰(zhàn)：供應(yīng)鏈安全挑戰(zhàn)大；E/E架構(gòu)不斷調(diào)整；軟件開發(fā)和部署更加復(fù)雜；攻擊面劇增，安全漏洞層出；TTM加速，迭代加速。

汽車行業(yè)數(shù)據(jù)顯示，汽車行業(yè)開源軟件代碼庫，其中60%都具有代碼漏洞，高出整體行業(yè)水平。通過SCA進行深度掃描分析，準(zhǔn)確識別風(fēng)險，針對不同的項目來源，為第三方制定供應(yīng)鏈軟件安全解決方案。而企業(yè)自有代碼安全實踐，把專業(yè)的SAST工具融入流程，才能提高軟件開發(fā)的代碼和質(zhì)量，同時保證開發(fā)效率。

許焱 | 新思科技高級安全架構(gòu)師

以下為演講內(nèi)容整理：

智能汽車時代代碼安全的嚴(yán)峻性

從三四十年前只有一部分發(fā)動機控制單元的代碼，到現(xiàn)在的ADAS、智能座艙、車身控制、V2X等。單一的架構(gòu)也在向多域融合的方向演進，這是軟件量的提升。現(xiàn)在的智能網(wǎng)聯(lián)汽車對于汽車的算力也提出了更多的要求，在做高算力比拼的背后，其實也是軟硬件協(xié)同的一個結(jié)果。

此前某芯片廠商在發(fā)布高算力芯片時曾提出，依靠軟件架構(gòu)的改進來大幅提升了算力，這可以說是軟件質(zhì)的變化。還有一種可能，是軟件直接和錢掛鉤。

比較典型的例子是特斯拉，在選購時它的高級智能輔助駕駛系統(tǒng)是收費的軟件包，并且價格也在不斷上漲，與其車本身降價形成鮮明對比。21年時，特斯拉軟件部分的收入占到整體營收的6%，并且這個比例還在不斷的提升。但也要看到軟件與汽車聯(lián)網(wǎng)的需求雖然大增，但安全方面的攻擊也在增加。

下圖是統(tǒng)計的軟件的攻擊面，可以看到受到攻擊最多的是后端服務(wù)器，包括進入系統(tǒng)的攻擊。比如傳統(tǒng)的OBD接口、SD卡等，這樣的攻擊面已經(jīng)多達十幾個。另外造成軟件安全漏洞的原因也各不相同，可以看到右邊SAE的統(tǒng)計，除了最上面可能是來自于軟件上市的壓力以外，下面三個主要是跟軟件的代碼和測試相關(guān)。可以歸納為沒有使用好的應(yīng)用安全測試系統(tǒng)，導(dǎo)致發(fā)現(xiàn)問題和軟件開發(fā)能力需要提高。

圖源：演講嘉賓材料

因為汽車受到的攻擊面增多，所以汽車上存在的一些安全漏洞問題會被利用，形成了一個安全事件。這邊列出了一部分2022年公開的汽車事件的案例，可以看出網(wǎng)絡(luò)安全事件的攻擊類型多樣化，比如藍牙攻擊、授權(quán)不當(dāng)引起的漏洞、數(shù)據(jù)泄露的漏洞等，所以保障網(wǎng)絡(luò)安全已經(jīng)成為了較大的課題。

圖源：演講嘉賓材料

智能汽車時代代碼安全的嚴(yán)肅性

因為汽車中有各種安全問題的隱患，國內(nèi)外的立法機構(gòu)、國際組織也在不斷的更新網(wǎng)絡(luò)安全的法規(guī)和標(biāo)準(zhǔn)。最重要的是兩年前發(fā)布的ISO21434的國際標(biāo)準(zhǔn)，如果車企是基于此標(biāo)準(zhǔn)來建立車輛安全體系的，那么它也基本上符合了WP29 R155對網(wǎng)絡(luò)安全管理體系的要求。有了證書之后，才可以去進行VTA的認證。CSMS體系搭建也要在應(yīng)用場景和開發(fā)流程中加入安全活動，比如安全測試、OTA升級、應(yīng)急響應(yīng)等。 

下圖藍色背景的部分是安全活動，可以看到，在用戶需求方面要加入相關(guān)的安全管理，并且在產(chǎn)品測試等方面也要做安全的測試。這是21434標(biāo)準(zhǔn)中要求的活動事例，比如與靜態(tài)分析相關(guān)時，要求集成和驗證活動必須符合相關(guān)的網(wǎng)絡(luò)安全規(guī)范，靜態(tài)代碼測試就可以被用來進行這樣一個驗證活動，當(dāng)然它還要求在做靜態(tài)代碼測試時，還可以去做相關(guān)的編碼安全規(guī)范的測試。另外在測試方面，對測試用力的驅(qū)動也提出了一些建議，比如需求的分析、邊界值的分析等，在去驗證安全漏洞問題時，也提供了相應(yīng)的方法和建議，比如功能測試、漏洞掃描等。

圖源：演講嘉賓材料

保障智能汽車代碼安全的實踐

首先將汽車軟件分為嵌入式和企業(yè)IT相關(guān)的軟件，但軟件本身的側(cè)重點、開發(fā)模式等都是不同的。軟件安全開發(fā)面臨的五大挑戰(zhàn)，首當(dāng)其沖的是供應(yīng)鏈安全的挑戰(zhàn)。比如汽車軟件是由OEM、Tier1、Tier2，Tier2++等組成，那么供應(yīng)商軟件是否安全、不同軟件模塊調(diào)用接口是否安全等都會對供應(yīng)鏈的安全提出挑戰(zhàn)。另外隨著汽車的電子電器架構(gòu)在不停的調(diào)整，軟件開發(fā)的部署也變得更為復(fù)雜。并且攻擊面的增加，也對安全測試提出了更高的要求。還有軟件上市加速，也對開發(fā)周期進行了不斷的壓縮，這就對軟件開發(fā)的效率提出了更高的要求。

那么如何針對第三方代碼去做一個安全保障，在此之前先來分享一些數(shù)據(jù)，來源于新思科技今年年初發(fā)布的開源軟件安全與風(fēng)險分析報告，從整體情況來看，1703個代碼庫里包含有開源組建的代碼庫達到了96%，也就是只有4%的代碼庫是沒有開源軟件的。開源軟件占整體代碼庫的比重是76%，并且開源軟件和自研代碼的比例是3：1，而這些代碼庫里面已知漏洞的代碼庫占到了48%。從汽車行業(yè)來看，100%的代碼庫都包含了開源代碼，所占比重約為80%。那么在安全漏洞上，汽車行業(yè)的比例要高達60%。

從時間維度來看，過去五年十七個行業(yè)的高危漏洞的增長方面，汽車行業(yè)排名第五，增長了232%，增速較快。提到開源軟件繞不開的話題，是許可證的風(fēng)險。所謂許可證沖突是各個開源組建的許可證條款與本身項目的許可證條款存在沖突。另外一個運維風(fēng)險可以理解為開源社區(qū)活躍度較低的開源軟件。所以安全漏洞、許可證和運維風(fēng)險都會對供應(yīng)鏈安全造成影響，需要引起重視。

不管什么樣的開源風(fēng)險，處理風(fēng)險的第一步是通過SCA工具去識別軟件中的風(fēng)險，只有使用了SCA工具根據(jù)不同的應(yīng)用場景，準(zhǔn)確識別所有的開源組件才能進行下一步的操作處理。

針對汽車行業(yè)的供應(yīng)鏈軟件安全的解決方案，可以使用SCA工具，比如新思科技的Black Duck，可以掃描整個項目的原代碼和二進制文件，也可以直接導(dǎo)入SPDX等格式的SBOM文件，形成項目的一個初版，在此基礎(chǔ)上用OSS治理策略來自動識別安全漏洞或是許可證違規(guī)的情況。那如果產(chǎn)生這樣的情況，需要將相關(guān)的信息反饋到審核團隊，進行處理之后再次掃描，直到確認項目里沒有出現(xiàn)違反公司OSS治理要求的情況，才可以去做軟件的發(fā)布。軟件發(fā)布后，還有進行持續(xù)的監(jiān)控，所以這個流程是一個持久的過程。

汽車行業(yè)的特殊性具有安全編碼規(guī)范，目前的車企都在做安全編碼的相關(guān)檢查，雖然它可以解決整個軟件的可讀性等問題，但僅依靠編碼規(guī)范的檢查是很難確保代碼的質(zhì)量和安全性。如果是外界輸入的變量或是其他的數(shù)據(jù)類型，不對其做嚴(yán)格的檢查和驗證，就會發(fā)生數(shù)據(jù)篡改等問題，此時就需要更專業(yè)的工具來檢查。

從下圖中可以看到左上角A點到B點的過程中，軟件的問題在大量的減少，產(chǎn)品質(zhì)量和安全性在逐步提升，那么競爭力也會有相應(yīng)的提升。在減少的過程中，需要更強的數(shù)據(jù)流、控制流檢查才能發(fā)現(xiàn)問題，雖然它的量相對較少，但它往往是一些質(zhì)量事件或是安全漏洞背后的原因。所以在選擇掃描工具時，除了安全編碼規(guī)范的檢查外，還需要一個相對更綜合、更全面的檢查。并且誤報率也是一個檢驗的標(biāo)準(zhǔn)，如果誤報率過高，那意味著研發(fā)人員需要投入大量的時間去判斷是不是誤報，這會降低開發(fā)的效率。

圖源：演講嘉賓材料

新思科技解決方案

新思科技研發(fā)的Coverity軟件是誤報率最低的SAST工具，它的檢出率是97%，誤報率可以控制在10%以內(nèi)。除了傳統(tǒng)的模型以外，CICD，DevOps等開發(fā)模式也在汽車開發(fā)中被應(yīng)用。對SAST工具的使用，要讓其無縫融入，這樣才能在提高軟件質(zhì)量和安全性的同時，提高開發(fā)效率。

針對汽車行業(yè)SDLC的推進方案，在開發(fā)人員自檢階段，可以通過IDE的一些插件，或者是命令行的方式，對當(dāng)前修改的代碼做快速且高效的掃描和驗證。并且代碼入庫門禁，可以結(jié)合代碼review系統(tǒng)去做，只有通過了代碼入庫門禁的提交，才可以提交到整體的代碼倉庫。在代碼入庫后，不僅有編碼規(guī)范的檢查，還增加一個流程，可以根據(jù)本身的分類，去制定相應(yīng)的分?jǐn)?shù)，只有通過一定的標(biāo)準(zhǔn)檢查的結(jié)果，才會把它提交到最終的報告中，這樣可以減少確認這些問題的數(shù)量。

下圖是我們軟件代碼做的資源相關(guān)等檢查，檢查完之后，可以通過郵件的方式發(fā)送給開發(fā)人員確認，開發(fā)人員可以通過瀏覽器或者IDE插件，快速修復(fù)問題，并且也可以把一些問題集成到BTS系統(tǒng)去做一個閉環(huán)。作為應(yīng)用安全測試領(lǐng)先的供應(yīng)商，可以在工具層面提供更多的解決方案，為車企的相關(guān)活動做一個支撐。

圖源：演講嘉賓材料

（以上內(nèi)容來自于新思科技高級安全架構(gòu)師許焱于2023年4月20-21日在蓋世汽車與上海市國際展覽(集團)有限公司(SIEC)共同主辦第二屆中國汽車信息安全與數(shù)據(jù)安全大會發(fā)表的《智能汽車時代如何保障代碼安全》主題演講。）

返回第一電動網(wǎng)首頁 >