2023年4月20-21日蓋世汽車與上海市國際展覽(集團(tuán))有限公司(SIEC)共同主辦第二屆中國汽車信息安全與數(shù)據(jù)安全大會(huì)上，新思科技高級(jí)安全架構(gòu)師許焱表示，汽車軟件安全面臨的挑戰(zhàn)有五大挑戰(zhàn)：供應(yīng)鏈安全挑戰(zhàn)大；E/E架構(gòu)不斷調(diào)整；軟件開發(fā)和部署更加復(fù)雜；攻擊面劇增，安全漏洞層出；TTM加速，迭代加速。

汽車行業(yè)數(shù)據(jù)顯示，汽車行業(yè)開源軟件代碼庫，其中60%都具有代碼漏洞，高出整體行業(yè)水平。通過SCA進(jìn)行深度掃描分析，準(zhǔn)確識(shí)別風(fēng)險(xiǎn)，針對(duì)不同的項(xiàng)目來源，為第三方制定供應(yīng)鏈軟件安全解決方案。而企業(yè)自有代碼安全實(shí)踐，把專業(yè)的SAST工具融入流程，才能提高軟件開發(fā)的代碼和質(zhì)量，同時(shí)保證開發(fā)效率。

許焱 | 新思科技高級(jí)安全架構(gòu)師

以下為演講內(nèi)容整理：

智能汽車時(shí)代代碼安全的嚴(yán)峻性

從三四十年前只有一部分發(fā)動(dòng)機(jī)控制單元的代碼，到現(xiàn)在的ADAS、智能座艙、車身控制、V2X等。單一的架構(gòu)也在向多域融合的方向演進(jìn)，這是軟件量的提升。現(xiàn)在的智能網(wǎng)聯(lián)汽車對(duì)于汽車的算力也提出了更多的要求，在做高算力比拼的背后，其實(shí)也是軟硬件協(xié)同的一個(gè)結(jié)果。

此前某芯片廠商在發(fā)布高算力芯片時(shí)曾提出，依靠軟件架構(gòu)的改進(jìn)來大幅提升了算力，這可以說是軟件質(zhì)的變化。還有一種可能，是軟件直接和錢掛鉤。

比較典型的例子是特斯拉，在選購時(shí)它的高級(jí)智能輔助駕駛系統(tǒng)是收費(fèi)的軟件包，并且價(jià)格也在不斷上漲，與其車本身降價(jià)形成鮮明對(duì)比。21年時(shí)，特斯拉軟件部分的收入占到整體營收的6%，并且這個(gè)比例還在不斷的提升。但也要看到軟件與汽車聯(lián)網(wǎng)的需求雖然大增，但安全方面的攻擊也在增加。

下圖是統(tǒng)計(jì)的軟件的攻擊面，可以看到受到攻擊最多的是后端服務(wù)器，包括進(jìn)入系統(tǒng)的攻擊。比如傳統(tǒng)的OBD接口、SD卡等，這樣的攻擊面已經(jīng)多達(dá)十幾個(gè)。另外造成軟件安全漏洞的原因也各不相同，可以看到右邊SAE的統(tǒng)計(jì)，除了最上面可能是來自于軟件上市的壓力以外，下面三個(gè)主要是跟軟件的代碼和測(cè)試相關(guān)。可以歸納為沒有使用好的應(yīng)用安全測(cè)試系統(tǒng)，導(dǎo)致發(fā)現(xiàn)問題和軟件開發(fā)能力需要提高。

圖源：演講嘉賓材料

因?yàn)槠囀艿降墓裘嬖龆啵云嚿洗嬖诘囊恍┌踩┒磫栴}會(huì)被利用，形成了一個(gè)安全事件。這邊列出了一部分2022年公開的汽車事件的案例，可以看出網(wǎng)絡(luò)安全事件的攻擊類型多樣化，比如藍(lán)牙攻擊、授權(quán)不當(dāng)引起的漏洞、數(shù)據(jù)泄露的漏洞等，所以保障網(wǎng)絡(luò)安全已經(jīng)成為了較大的課題。

圖源：演講嘉賓材料

智能汽車時(shí)代代碼安全的嚴(yán)肅性

因?yàn)槠囍杏懈鞣N安全問題的隱患，國內(nèi)外的立法機(jī)構(gòu)、國際組織也在不斷的更新網(wǎng)絡(luò)安全的法規(guī)和標(biāo)準(zhǔn)。最重要的是兩年前發(fā)布的ISO21434的國際標(biāo)準(zhǔn)，如果車企是基于此標(biāo)準(zhǔn)來建立車輛安全體系的，那么它也基本上符合了WP29 R155對(duì)網(wǎng)絡(luò)安全管理體系的要求。有了證書之后，才可以去進(jìn)行VTA的認(rèn)證。CSMS體系搭建也要在應(yīng)用場(chǎng)景和開發(fā)流程中加入安全活動(dòng)，比如安全測(cè)試、OTA升級(jí)、應(yīng)急響應(yīng)等。 

下圖藍(lán)色背景的部分是安全活動(dòng)，可以看到，在用戶需求方面要加入相關(guān)的安全管理，并且在產(chǎn)品測(cè)試等方面也要做安全的測(cè)試。這是21434標(biāo)準(zhǔn)中要求的活動(dòng)事例，比如與靜態(tài)分析相關(guān)時(shí)，要求集成和驗(yàn)證活動(dòng)必須符合相關(guān)的網(wǎng)絡(luò)安全規(guī)范，靜態(tài)代碼測(cè)試就可以被用來進(jìn)行這樣一個(gè)驗(yàn)證活動(dòng)，當(dāng)然它還要求在做靜態(tài)代碼測(cè)試時(shí)，還可以去做相關(guān)的編碼安全規(guī)范的測(cè)試。另外在測(cè)試方面，對(duì)測(cè)試用力的驅(qū)動(dòng)也提出了一些建議，比如需求的分析、邊界值的分析等，在去驗(yàn)證安全漏洞問題時(shí)，也提供了相應(yīng)的方法和建議，比如功能測(cè)試、漏洞掃描等。

圖源：演講嘉賓材料

保障智能汽車代碼安全的實(shí)踐

首先將汽車軟件分為嵌入式和企業(yè)IT相關(guān)的軟件，但軟件本身的側(cè)重點(diǎn)、開發(fā)模式等都是不同的。軟件安全開發(fā)面臨的五大挑戰(zhàn)，首當(dāng)其沖的是供應(yīng)鏈安全的挑戰(zhàn)。比如汽車軟件是由OEM、Tier1、Tier2，Tier2++等組成，那么供應(yīng)商軟件是否安全、不同軟件模塊調(diào)用接口是否安全等都會(huì)對(duì)供應(yīng)鏈的安全提出挑戰(zhàn)。另外隨著汽車的電子電器架構(gòu)在不停的調(diào)整，軟件開發(fā)的部署也變得更為復(fù)雜。并且攻擊面的增加，也對(duì)安全測(cè)試提出了更高的要求。還有軟件上市加速，也對(duì)開發(fā)周期進(jìn)行了不斷的壓縮，這就對(duì)軟件開發(fā)的效率提出了更高的要求。

那么如何針對(duì)第三方代碼去做一個(gè)安全保障，在此之前先來分享一些數(shù)據(jù)，來源于新思科技今年年初發(fā)布的開源軟件安全與風(fēng)險(xiǎn)分析報(bào)告，從整體情況來看，1703個(gè)代碼庫里包含有開源組建的代碼庫達(dá)到了96%，也就是只有4%的代碼庫是沒有開源軟件的。開源軟件占整體代碼庫的比重是76%，并且開源軟件和自研代碼的比例是3：1，而這些代碼庫里面已知漏洞的代碼庫占到了48%。從汽車行業(yè)來看，100%的代碼庫都包含了開源代碼，所占比重約為80%。那么在安全漏洞上，汽車行業(yè)的比例要高達(dá)60%。

從時(shí)間維度來看，過去五年十七個(gè)行業(yè)的高危漏洞的增長方面，汽車行業(yè)排名第五，增長了232%，增速較快。提到開源軟件繞不開的話題，是許可證的風(fēng)險(xiǎn)。所謂許可證沖突是各個(gè)開源組建的許可證條款與本身項(xiàng)目的許可證條款存在沖突。另外一個(gè)運(yùn)維風(fēng)險(xiǎn)可以理解為開源社區(qū)活躍度較低的開源軟件。所以安全漏洞、許可證和運(yùn)維風(fēng)險(xiǎn)都會(huì)對(duì)供應(yīng)鏈安全造成影響，需要引起重視。

不管什么樣的開源風(fēng)險(xiǎn)，處理風(fēng)險(xiǎn)的第一步是通過SCA工具去識(shí)別軟件中的風(fēng)險(xiǎn)，只有使用了SCA工具根據(jù)不同的應(yīng)用場(chǎng)景，準(zhǔn)確識(shí)別所有的開源組件才能進(jìn)行下一步的操作處理。

針對(duì)汽車行業(yè)的供應(yīng)鏈軟件安全的解決方案，可以使用SCA工具，比如新思科技的Black Duck，可以掃描整個(gè)項(xiàng)目的原代碼和二進(jìn)制文件，也可以直接導(dǎo)入SPDX等格式的SBOM文件，形成項(xiàng)目的一個(gè)初版，在此基礎(chǔ)上用OSS治理策略來自動(dòng)識(shí)別安全漏洞或是許可證違規(guī)的情況。那如果產(chǎn)生這樣的情況，需要將相關(guān)的信息反饋到審核團(tuán)隊(duì)，進(jìn)行處理之后再次掃描，直到確認(rèn)項(xiàng)目里沒有出現(xiàn)違反公司OSS治理要求的情況，才可以去做軟件的發(fā)布。軟件發(fā)布后，還有進(jìn)行持續(xù)的監(jiān)控，所以這個(gè)流程是一個(gè)持久的過程。

汽車行業(yè)的特殊性具有安全編碼規(guī)范，目前的車企都在做安全編碼的相關(guān)檢查，雖然它可以解決整個(gè)軟件的可讀性等問題，但僅依靠編碼規(guī)范的檢查是很難確保代碼的質(zhì)量和安全性。如果是外界輸入的變量或是其他的數(shù)據(jù)類型，不對(duì)其做嚴(yán)格的檢查和驗(yàn)證，就會(huì)發(fā)生數(shù)據(jù)篡改等問題，此時(shí)就需要更專業(yè)的工具來檢查。

從下圖中可以看到左上角A點(diǎn)到B點(diǎn)的過程中，軟件的問題在大量的減少，產(chǎn)品質(zhì)量和安全性在逐步提升，那么競(jìng)爭(zhēng)力也會(huì)有相應(yīng)的提升。在減少的過程中，需要更強(qiáng)的數(shù)據(jù)流、控制流檢查才能發(fā)現(xiàn)問題，雖然它的量相對(duì)較少，但它往往是一些質(zhì)量事件或是安全漏洞背后的原因。所以在選擇掃描工具時(shí)，除了安全編碼規(guī)范的檢查外，還需要一個(gè)相對(duì)更綜合、更全面的檢查。并且誤報(bào)率也是一個(gè)檢驗(yàn)的標(biāo)準(zhǔn)，如果誤報(bào)率過高，那意味著研發(fā)人員需要投入大量的時(shí)間去判斷是不是誤報(bào)，這會(huì)降低開發(fā)的效率。

圖源：演講嘉賓材料

新思科技解決方案

新思科技研發(fā)的Coverity軟件是誤報(bào)率最低的SAST工具，它的檢出率是97%，誤報(bào)率可以控制在10%以內(nèi)。除了傳統(tǒng)的模型以外，CICD，DevOps等開發(fā)模式也在汽車開發(fā)中被應(yīng)用。對(duì)SAST工具的使用，要讓其無縫融入，這樣才能在提高軟件質(zhì)量和安全性的同時(shí)，提高開發(fā)效率。

針對(duì)汽車行業(yè)SDLC的推進(jìn)方案，在開發(fā)人員自檢階段，可以通過IDE的一些插件，或者是命令行的方式，對(duì)當(dāng)前修改的代碼做快速且高效的掃描和驗(yàn)證。并且代碼入庫門禁，可以結(jié)合代碼review系統(tǒng)去做，只有通過了代碼入庫門禁的提交，才可以提交到整體的代碼倉庫。在代碼入庫后，不僅有編碼規(guī)范的檢查，還增加一個(gè)流程，可以根據(jù)本身的分類，去制定相應(yīng)的分?jǐn)?shù)，只有通過一定的標(biāo)準(zhǔn)檢查的結(jié)果，才會(huì)把它提交到最終的報(bào)告中，這樣可以減少確認(rèn)這些問題的數(shù)量。

下圖是我們軟件代碼做的資源相關(guān)等檢查，檢查完之后，可以通過郵件的方式發(fā)送給開發(fā)人員確認(rèn)，開發(fā)人員可以通過瀏覽器或者IDE插件，快速修復(fù)問題，并且也可以把一些問題集成到BTS系統(tǒng)去做一個(gè)閉環(huán)。作為應(yīng)用安全測(cè)試領(lǐng)先的供應(yīng)商，可以在工具層面提供更多的解決方案，為車企的相關(guān)活動(dòng)做一個(gè)支撐。

圖源：演講嘉賓材料

（以上內(nèi)容來自于新思科技高級(jí)安全架構(gòu)師許焱于2023年4月20-21日在蓋世汽車與上海市國際展覽(集團(tuán))有限公司(SIEC)共同主辦第二屆中國汽車信息安全與數(shù)據(jù)安全大會(huì)發(fā)表的《智能汽車時(shí)代如何保障代碼安全》主題演講。）

返回第一電動(dòng)網(wǎng)首頁 >