“软件定义汽车”的背后,海量代码安全性该如何保证?
日期:2022年08月03日 阅:124
智能化是当代汽车业发展的必然趋势,为了增加乘用舒适性,现代汽车将车联网与智能车有机联合,搭载先进的车载传感器,控制器,执行器等,并融合现代通信网络技术,实现车与人、车、路等智能信息的交换共享,开拓智能汽车的网联时代。
但发展亦为挑战,面对日趋庞大的车载代码,如何保证汽车应用的信息安全?怎样才能不给黑客们可乘之机?这是一个值得思考的问题,开发人员必须借助相关工具确保嵌入式代码的安全性,否则如下案例便是前车之鉴:2013年,黑客通过Uconnect软件入侵数十万辆Fiat Chrysler,Fiat Chrysler最终在美国召回了140万辆汽车;2015年,两名信息安全研究人员成功地在10英里外远程夺取了一辆Jeep Cherokee的控制权……
另据Juniper Research预测,到2023年,联网汽车数量将达到7.75亿辆,而无钥匙进入、娱乐系统、远程控制单元和连接智能手机等功能将会在更多的车型上配备。
所以,汽车软件信息安全是现在及未来开发过程中的一大焦点。尽管软件工程师会设计诸如数据加密、身份验证协议等来减轻漏洞,但即便如此,软件也有可能存在隐患。为了保证软件安全,汽车生产商需要从源码级别开始关注。
据软件工程研究所(Software Engineering Institute ,SEI卡内基梅隆大学研发中心,主要由美国国防部和国土安全部提供资金)估计,高达90%的安全事故都是由于黑客攻击了软件代码或者设计漏洞,黑客利用这些漏洞窃取私人数据,未经授权夺取系统控制权。
汽车代码信息安全解决方案
静态测试方案的高效执行,需借助强有力的静态代码分析工具,才能避免典型安全漏洞。作为代码静态检测工具的领域的领跑者,海云安源代码检测分析管理平台无疑是各大厂商的最佳选择。海云安源代码检测分析管理平台涵盖2400+种缺陷类型,检测语言多达 20+ 种,拥有3000万+ 代码基因大数据库,且误报率低于15%,F1 Score达到0.8,检测速度1.2万行+/分钟,集成多种平台对接能力,支持全方位API对接。
中国工程院院士倪光南在汽车开发者大会上提出“开源是很好的模式,包括研发、商业模式等均基于开放共享的精神。那么如何保证智能网联汽车领域的开源软件安全?海云安开源组件检测分析管理系统可以帮助大部分车企解决这一难题:
海云安开源组件检测分析管理系统是一款集开源组件识别与安全管控于一体的软件成分析与管理系统,基于B/S架构,采用自主研发的开源组件分析引擎为客户提供开源组件的发现、知识产权风险分析、漏洞告警及管理等服务。
通过软件成分收集分析、依赖分析、漏洞检测、许可证合规分析和漏洞监控提醒等多种技术组合能够精确识别软件中的开源组件漏洞与许可证信息,并进一步确认漏洞的真实有效性,帮助智能网联汽车企业及时发现软件风险,有效修复组件安全漏洞。
未来汽车的安全也并非只由机械物理结构来决定,而是越来越倚重软件和算法控制。在不久的将来,肯定会有更多的软件被加在汽车上,软件将成为未来汽车的主体以及差异化竞争力。软件定义汽车绝非一句时髦的口号,汽车安全与健康也将重新被定义。未来的汽车安全评级将不仅仅是依靠碰撞测试了,还需要在软件层面进行评估,得到更高的评级。
深圳海云安网络安全技术有限公司成立于2015年,是深圳国资参股投资的专注于应用安全领域的创新型国家高新技术企业。公司以“安全每一行代码”为己任,致力于“可信应用,主动防御”系列应用安全产品研发推广,长期为金融、政府、企事业单位提供安全开发、APP安全、数据安全等全面解决方案。