“安全+合规”是车联网产业稳步发展前提

    随着汽车行业电动化、智能化、网联化、共享化趋势日益显著，智能网联汽车市场规模将逐步提高，而系牢车联网“安全带”，就显得尤为重要。
    “当前大家比较关注的也比较现实的问题，就是供应链安全，这会是一个主要的安全趋势。”新思科技中国区软件应用安全业务总监杨国梁表示。
    记者了解到，当智能网联汽车先进功能越来越多，集成度、复杂性增加，安全问题开始凸显，由功能安全引发的自动驾驶事故比例逐渐增多。所谓功能安全，即电控系统失效故障导致的不合理安全风险。
    “其根本原因在于汽车代码数量激增带来的安全缺陷呈指数级增加。”杨国梁说，“未来自动驾驶可能需要3亿到5亿行代码。任何故障和漏洞都可能导致汽车功能失效甚至危害到人身和财产的安全。因此，汽车行业已经开始从人身安全至上转向人身安全及软件安全至上。”
    汽车行业正在扩展成为互联生态系统中更大的一部分。一辆网联汽车上配备了许多接口，可以连接到云、各种网络应用、OEM后端、OTA平台以及其它车辆和车主的移动设备甚至家庭设备。这使得车辆的攻击面和应对潜在威胁所需的保护措施从单个车辆扩展到更大的生态系统。
    如今，网络攻击已经不再局限于点和面。供应链安全的重要性日益凸显。软件供应链攻击是一种面向软件开发人员和供应商的新兴威胁。尤其是随着开源应用无处不在，智能网联汽车企业要充分掌握软件中的开源信息，包括安全性、合规性、许可和代码质量风险等，才能制定更加完善的网络安全计划，有效防止供应链攻击。
    新思科技发布的《2023年开源安全和风险分析》报告显示，96%被审计的代码库包含开源代码。其中，航空航天、汽车、运输和物流行业100%包含开源代码，而且63%的代码库中包含高风险漏洞。在对抗软件供应链攻击时，软件物料清单应是首选武器。而“安全+合规”，是车联网产业稳步发展的前提。
    此前，工信部印发《车联网网络安全和数据安全标准体系建设指南》，提出到2023年底初步构建起车联网网络安全和数据安全标准体系。在杨国梁看来，这些法律法规对汽车信息安全和网络空间安全系统管理提出监管要求，有助于推动整个汽车产业安全性的提升。但由于传统汽车行业软件安全员工匮乏，部分企业信息安全建设尚无头绪。
    在面对落地新标准的挑战时，新思科技建议智能网联车企至少做到以下五点：开设新岗位或明确新职责，更改流程任务，以制定专门的合规计划；建立网络安全活动并部署自动化工具，提升安全测试效率和准确性；从小型试点项目开始，在推出前获得团队及管理层认可；与产品团队互动，收集反馈并进行改进；借助软件安全构建成熟度模型等评估，与行业实践对比，持续改善安全计划。