当前位置:首页 > 报告详情

汽车软件的开源安全治理—从代码到整车.pptx

上传人: 山哈 编号:730329 2025-07-04 35页 17.74MB

1、汽车软件的开源安全治理 从代码到整车,马庆波上海安势信息技术有限公司,从代码层探讨汽车软件供应链安全与合规车企开源治理的必要性车企开源治理活动公司简介,代码定义汽车软件代码在汽车中的比例激增,从代码层探讨汽车软件供应链安全与合规,01,代码量激增给汽车行业带来的挑战,传统软件开发模式,编码阶段引入的缺陷(质量&安全问题)数量达85%,但大量缺陷的挖掘是在编码之后的阶段,带来的问题:修复缺陷滞后,修复周期长修复成本高:在编码之后缺陷的挖掘修复成本是编码阶段引入的600多倍,2014-2019年,全球汽车召回案例中,与软件相关的召回次数显著增加,均高于40%,未来可能达70%截止2019年,中国涉

2、及程序或软件问题的召回213次,涉及车辆683.02万辆,占总体召回数的9%,增加趋势明显未来将有60-70%的车辆会因软件安全漏洞被召回,形式严峻,软件定义汽车背景下,面临的安全和合规风险,安全,效率,成本,合规,车企开源治理的必要性,02,针对汽车的供应链攻击事件激增,2021.08,2022.03,2022.12,2022.12,2023.02,2023.11,本田雅阁、思域、讴歌等多款车存在无线钥匙重放攻击漏洞:CVE-2019-20626,特斯拉充电口盖存在漏洞:CVE-2022-27948,攻击者可在任意时刻和地点打开充电口盖,国内某汽车用户信息泄露,被勒索1566万,丰田汽车T-

3、connect 漏洞被利用,30万用户信息被泄露,3多年来,针对汽车供应链攻击增加了225%,大众汽车Discover Media信息娱乐系统中的漏洞,可被远程触发,用于远程执行,某汽车零部件供应商遭勒索软件攻击,导致其内饰供应链系统受影响,对其下游的各大北美汽车制造供应链产生直接连锁反应,导致几家北美工厂生产中断,政策、法规等要求违反则面临巨额罚款,就保障智能网联汽车的网络安全提出了管理体系及相关的合规技术要求,为汽车行业构建合规的网络安全架构提供了清晰的指导。自2022年7月起,进入采用UN R155条例的60多个国家市场的车型,在准入时的合规检测必须评估新车型遵守网络安全新法规UN R1

4、55的情况,符合要求才能获得批准。UN R155要求OEM厂家通过CSMS(网络安全管理体系)认证。CSMS是一种基于风险的系统性方法,定义了组织流程和政策、责任以及治理,以处理与车辆网络威胁相关的风险并保护车辆免受网络攻击。UN R155要求进行CSMS认证,ISO/SAE 21434说明如何实施CSMS认证。,UN-R155汽车网络安全强制法规,欧盟网络弹性法案,国际上首个与汽车网络安全相关的纲领性强制法规,ISO 21434 汽车网络安全标准,RQ-09-05、RQ-06-16、RQ-07-01、RQ-05-12、RQ-06-21、RQ-06-22等针对针对开源软件的条款,组织网络安全管

5、理RQ-05-12 为维护现场产品的网络安全所需的配置信息应保持可用,直到对产品的网络安全支持结束,以便能够采取补救行动,提供BOM清单,软件配置等。项目级网络安全管理6.4.6 Off-the-shelf component(包括第三方库,开源软件等)RQ-06-21 在集成一个现成的组件时,应收集和分析与网络安全有关的文件,以确定是否:a)分配的网络安全要求可以得到满足;b)该部件适用于预期用途的具体应用环境;c)现有文件足以支持网络安全活动。RQ-06-22 如果现有文件不足以支持现成组件的集成,那么应确定并执行符合本文件的网络安全活动分布式网络安全管理供应商和客户之间达成网络安全接口协

6、议持续的网络安全活动RQ-08-07 漏洞的管理应做到对每个漏洞,通过应用独立于 TARA 的可用补救措施来消除该漏洞,如开源软件的补丁,2019年网络安全法第51(d)条将识别和记录已知的依赖性和漏洞确定为安全目标。为了帮助实现该要求,欧盟网络安全机构ENISA的若干标准确定了软件供应链透明度的重要性。2022年9月15日:网络弹性法案提案(在 2024 年生效)所有出口欧盟的带有数字元素的产品必须提供安全保障、软件物料清单(SBOM)、漏洞报告机制和为期5年的补丁更新。如违反其规定的网络安全要求和制造商的义务,则可能被处以最高1500万欧元或上一财政年度全球年营业额的2.5%的罚款,以较高

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
客服
商务合作
小程序
服务号
折叠