汽車中使用的大多數軟件組件都不是由汽車制造商自己甚至頂級供應商直接開發的。軟件來自廣泛的供應商,包括嵌入式 GUI 框架、中間件、操作系統、導航和電信軟件組件等。
這些源軟件組件可以是儀表板信息娛樂系統或嵌入式系統(例如整個車輛使用的傳感器)的一部分。這種日益增加的復雜性和互操作性導致了供應商之間的軟件協作,從而形成了一個同行的合作伙伴網絡(例如,福特和谷歌,通用汽車和Lyft)。
由于汽車軟件組件是由許多不同的供應商創建的,因此其中很大一部分包含開源。就像現在的任何軟件一樣,開源是生活中的事實。事實上,Android是汽車主機的流行平臺,它建立在Linux之上。其他例子是Genivi Alliance和Automotive Grade Linux,這是專門用于汽車應用的開源平臺。
據估計,2018年開源在汽車軟件堆棧中的比例約為50-70%。2021 年 66 月的另一次演講將這一數字定為約 <>%,無論開源是否直接或間接用于其他專有第三方組件。
不“重新發明輪子”的生產力優勢是顯而易見的。免費和開源軟件通常質量很好,并提供顯著的好處,尤其是在用于整個子系統時。但是,安全性和質量因軟件來源而異。在大多數情況下,您不確定重復使用的組件是否安全且高質量,因此必須采取措施來減輕這種風險。
開源組件的不安全版本是汽車軟件中常見的安全漏洞。在某些情況下,漏洞已被識別和修補,但車輛中使用的組件尚未更新。
開源組件或包含漏洞的組件缺乏更新也是汽車制造商面臨的挑戰。盡管在汽車中修補軟件可能很困難,但確保軟件供應鏈也跟上要求成為一項復雜的任務。有時更新不會到來,因為作者甚至可能不知道開源。
開源組件中隱藏的依賴關系是另一個關鍵的安全問題。開源依賴于其他依賴項來運行是很常見的。依賴關系增加了安全風險的范圍。其中一些依賴項沒有記錄在案,或者如果在專有軟件中使用,則完全隱藏。
最后,許可是汽車軟件的潛在雷區。開源不一定可以在商業產品中免費使用,或者如果是,產品中的重新分發可能需要滿足法律要求。包含第三方軟件的設備正在重新分發其中使用的任何源代碼或二進制文件,這是開源的獨特用例。未正確管理所使用的所有第三方源和二進制文件的許可證存在重大法律風險。
管理開源軟件的風險
正如物料清單 (BOM) 有助于管理汽車生產中的實物庫存一樣,管理采購軟件的質量和安全性需要從軟件 BOM – SBOM 開始。
SBOM 如何幫助管理風險?
實施軟件供應鏈風險管理計劃和使用 SBOM 對于改善最終產品的安全狀況至關重要。對于汽車軟件開發,此實踐有助于滿足行業安全性和合規性要求
SBOM 管理為制造商提供以下好處:
發現:識別第三方代碼和 COTS/第三方軟件中的開源組件。檢測這些組件中的已知(N 天)和未知(零天)漏洞。這包括隱藏在第二層和第三層軟件提供商的二進制文件中的開源組件。
管理風險:根據對代碼/軟件的可見性做出更明智的安全決策。遵守安全、許可和供應商風險合規性要求。
修正:利用可操作的漏洞情報防范網絡安全威脅。簡化漏洞修復以降低軟件風險。
自動化軟件供應鏈安全的目標是深入了解為支持項目目標而購買和部署的產品。需要SBOM和詳細的漏洞信息來真正了解車輛中使用的現有軟件的安全風險。
借助無需訪問源代碼即可分析二進制應用程序的新技術,產品安全團隊現在可以生成自己的詳細 SBOM 以及高級儀表板,以幫助分析和總結結果。此外,軟件漏洞報告對于對 SBOM 中概述的軟件組件中的已知漏洞進行編目至關重要。
尋找能夠生成人工和機器可讀輸出的 SBOM 工具,這些輸出可以導出并與其他組織共享,并與安全和風險解決方案集成。人類可讀的格式應提供組件和報告的漏洞的輕松導航。
汽車行業在車輛中使用的物理部件的質量、可靠性和安全性方面始終需要保持高度警惕。隨著越來越多的軟件被集成到他們的成品中,制造商不再“相信”他們產品中的嵌入式代碼沒有安全漏洞和缺陷。軟件供應鏈風險管理必須是車輛質量控制的關鍵支柱。
審核編輯:郭婷
-
嵌入式
+關注
關注
5082文章
19107瀏覽量
304833 -
汽車電子
+關注
關注
3026文章
7942瀏覽量
166920 -
操作系統
+關注
關注
37文章
6807瀏覽量
123285
發布評論請先 登錄
相關推薦
評論