探討現代汽車發展：千里之行，始于安全

汽車行業正在設法提升用戶體驗，不僅要兼顧性能和智能，還要將軟件代碼安全貫穿于產品的全生命周期，因為軟件正在成為現代汽車行業發展不可或缺的一部分。

當今汽車產業中，軟件定義汽車、汽車電氣化、智能網聯及自動駕駛已經受到越來越多的關注。得益于更加先進且復雜的軟件，汽車產業可以提供更強大的安全功能、更便利的操作以及更好的用戶體驗。但有一點不可忽視，那就是漏洞風險也隨之增加，且攻擊面更廣。

近年來，全球汽車行業發布了包括ISO/SAE 21434《道路車輛信息安全工程》、面向網絡安全的汽車SPICE 以及UN R155 網絡安全管理體系在內的多項新標準和法規。隨著越來越多的機構開始為產品開發制定網絡安全政策和流程，汽車行業網絡安全的成熟度逐步提高。

新思科技中國區軟件應用安全技術總監 付紅勛

現代汽車面臨的威脅和安全挑戰

新思科技中國區軟件應用安全技術總監付紅勛表示，汽車行業正在設法提升用戶體驗，不僅要兼顧性能和智能，還要將軟件代碼安全貫穿于產品的全生命周期，因為軟件正在成為現代汽車行業發展不可或缺的一部分。配備了現代智能網聯的汽車擁有150 個電子控制單元，所包含的軟件代碼接近1億行，到2030 年其包含的代碼量還將有望突破3億行。汽車產業的發展可謂千里之行，始于安全。

付紅勛介紹到，多年來，新思科技幫助汽車企業管理整個軟件開發生命周期（SDLC），防范供應鏈風險，支持在智能網聯汽車中構建安全、可靠的軟件系統，并獲得業界的普遍認可。例如，2023 年4 月，新思科技獲得了汽車產業專業信息服務平臺——蓋世汽車授予的“軟件安全開發優質供應商”稱號，并被收錄于《2023 蓋世汽車優質供應商推薦名錄》。同時，新思科技也會分享經驗和行業觀察，為智能汽車企業提供借鑒，幫助其加強SDLC 的每個階段和整個軟件供應鏈中的軟件安全狀況。

現代汽車通常具備軟件定義汽車、汽車電氣化、網聯及自動駕駛這幾個特點。基于這些特點，主要有四個方面的威脅和安全挑戰需要考慮。一是無線接口，包括WiFi、藍牙、蜂窩通信和V2X（Vehicle to Everything）。此外，自動駕駛汽車包含40多個攝像頭和傳感器，包括前置攝像頭、環視攝像頭、側攝像頭、后視攝像頭、前置雷達、后置雷達、激光雷達和多個超聲波傳感器。二是有線接口，包括常見的攻擊媒介，即車輛中的診斷端口。對于電動汽車來說，充電端口是一個額外的攻擊媒介。三是網聯汽車的目標系統，包括面向外部的系統，如車載信息娛樂系統、遠程信息處理控制單元和V2X 連接單元。此外，系統可能包含有價值的資產，如個人身份信息、加密密鑰或憑證，還有控制重要或關鍵功能的系統，例如無鑰匙進入系統（通過車身控制模塊來控制車輛的鎖定和解鎖功能）、被動進入、被動啟動系統和電池管理系統。自動駕駛汽車的目標系統包括與高級駕駛員輔助系統和自動駕駛相關的安全關鍵系統，這些系統負責轉向、加速和制動等。四是生態系統，涉及其他車輛和用戶的移動設備、OEM 后端、云解決方案和無線更新平臺。電動汽車的生態系統還涉及充電站、智能家居和電網等V2G（Vehicle to Grid）實體。除了保護汽車本身外，還必須確保生態系統中所有涉及安全關鍵實體的安全。

新思科技首席汽車安全策略師 Dennis Kengo Oka

現代汽車安全漏洞防范措施

汽車企業應根據ISO/SAE 21434 等標準制定網絡安全政策和流程，包括部署適當的應用安全測試工具以建立安全的軟件開發生命周期。

新思科技首席汽車安全策略師Dennis Kengo Oka建議到，車企應以項目級活動為重點，進行威脅分析和風險評估，以確定產品中的關鍵風險。在產品開發過程中，應對軟件進行安全漏洞測試。例如，執行靜態應用安全測試（SAST）以檢測源代碼中的問題；執行軟件成分分析（SCA）以檢測通信庫或加密庫等常用庫中易受攻擊的開源軟件組件；還應在高風險無線和有線接口上執行模糊測試，以檢測實施問題和安全漏洞；此外，應對生態系統中的軟件（例如網絡應用和移動應用軟件）執行動態應用安全測試（DAST）和滲透測試。

談及近年來一直備受熱議的AI 技術，Dennis Kengo Oka也分析了其利弊。

隨著AI技術的蓬勃發展，汽車行業面臨新的機遇。ChatGPT人工智能聊天機器人于2022年11月發布，并在兩個月內達到了1 億用戶。基于這些強大的AI 語言模型，汽車制造商可以構建數字助理，并使用汽車特定信息訓練AI 模型，如使用Linux 和Unix 手冊、C 語 言和Python 編 程語言對ChatGPT進行訓練。可以想象一家汽車制造商使用汽車用戶手冊中的信息和有關如何支持常見用例的信息來訓練數字助理，包括路線規劃、AI 與智能家居和設備的集成、充電等，這將使用戶可以輕松地詢問有關儀表盤上警告燈閃爍的問題、規劃前往目的地路線、打開車庫門、連接用戶設備、查找和預約充電點等，用戶無需再翻閱大量用戶手冊，也無需使用和管理多個設備或系統。

AI 技術的發展也給汽車行業帶來了一些風險。正如不法分子利用ChatGPT 編寫惡意軟件、黑客工具或者獲取可用于惡意目的的信息一樣，汽車中的數字助理也可能被濫用以獲取某些私密信息，例如克隆密鑰或運行未經授權的命令，這可能導致汽車失竊等結果。

雖然在汽車中部署數字助理會帶來包括提升用戶體驗在內的很多好處，但是其風險也不容忽視。因此，車企必須研究使用培訓數據，并考慮對響應內容提供某種類型的限制，以避免濫用和惡意行為。