文 | 中汽智联技术有限公司 李翠萍 张巧
随着智能网联汽车功能的不断丰富,汽车已从传统机械装置演变为集成电子系统和软件的智能化终端。在机械驱动向软件驱动转型的过程中,软件体系差异日益成为汽车价值差异化的关键,软件及服务能力逐渐成为汽车产业的核心竞争力。然而,伴随技术迭代加速,智能网联汽车软件安全风险呈显著上升趋势。中汽信息安全研究中心2023年发布的汽车行业十大风险报告显示,安全风险的本质多源于不安全的固件和软件代码,“车辆固件和软件存在已知漏洞”和“车辆固件和软件可被非授权获取”在十大风险源中分别位列第二和第三。全球汽车行业因软件安全问题引发的安全事件也频繁发生。针对智能网联汽车,由于部分产品间可能还存在系统软件复用的情况,因此,一旦出现软件安全漏洞,则可能导致大量的车辆产品面临安全风险,影响范围广泛。例如,2021年6月,特斯拉汽车宣布召回28万余辆不同型号的电动汽车,相关召回车辆存在主动巡航控制系统安全问题,易造成驾驶员部分情形误激活主动巡航功能,可能导致车辆速度突增,给安全驾驶带来极大安全风险。2022年7月,本田无钥匙进入系统被曝存在重放攻击漏洞,影响几乎所有本田系列车辆,黑客可远程开锁甚至启动,给车辆财产和驾乘人员生命安全带来极高风险。由此可见,重视智能网联汽车软件安全风险,提高汽车行业的软件安全治理水平显得尤为重要。
一、智能网联汽车软件安全风险分析
随着互联网和信息技术的飞速发展,软件已经成为现代社会不可或缺的一部分,软件安全问题在各行业都引发了高度重视。在汽车产业智能化、网联化转型进程中,智能网联汽车高度集成的软件系统,使其软件安全风险呈现独特性与复杂性,亟需开展系统性研究与应对。
(一)智能网联汽车软件安全风险由来分析
智能网联汽车软件安全风险并非孤立存在,其背后交织着产业生态与技术架构的多重因素。汽车行业供应链复杂、开源软件广泛应用以及软件管理体系尚不完善等现状,共同催生了日益严峻的安全风险,需从开发流程、技术应用、管理机制等维度深挖根源。
1. 多主体参与的软件开发流程
智能网联汽车软件架构日益复杂,多主体参与的软件开发流程增加了安全风险。智能网联汽车嵌入式软件架构可以大致分为系统架构、电子控制单元(Electronic Control Unit,ECU)、软件组件(Software Component,SWC)三个层级,SWC层级可以细分为应用软件(Application Software,ASW)和基础软件(Basic Software,BSW)。整车软件开发工作工程量巨大,以单芯片舱驾融合软件系统为例,系统涉及QNX、Linux等诸多的操作系统,其中,QNX约有1300万行代码,Linux kernel约4800万行,AUTOSAR约8200万行,安卓车机约2亿行,同时,每家汽车制造商还有自己的架构平台,平台供应商平均就有300至600家。当前,汽车主机厂的部分ECU是直接从供应商采购或委外开发,对于涉及关键核心技术的ECU,主机厂可能负责算法和策略软件的开发及软件集成,对于BSW往往还是委外开发。从发展趋势上看,虽然目前主机厂正在逐步形成自有软件团队,转向自主开发或与供应商合作进行白盒开发,但受现阶段的开发模式限制,智能网联汽车软件开发涉及参与主体众多,不仅导致主机厂对车辆产品软件资产可见性有限,也使得对于车辆产品的软件质量和软件安全的把控难度增加。
2. 开源组件引入的开源安全风险
智能网联汽车产品中的开源软件不断增多,不可避免地引入开源安全风险。现代软件大部分是由组件组成的,软件中的90%的代码由第三方编写,包含了商业组件和开源组件。开源组件(Open Source Software,OSS),又称开放源代码软件,是指遵循开源许可证的软件工具、库、接口或固件,可以被任何人自由地使用、修改和分发。这些组件通常由社区维护和支持,旨在帮助开发人员快速构建软件并提高开发效率。根据网络安全公司Cybellum《2022年汽车网络安全现状报告》统计,汽车产品中最常用的十大组件均为开源组件。新思科技《2024年度开源安全与风险分析报告》的统计分析结果也显示,统计样本中的所有汽车行业代码库均包含开源代码。对于开源软件,一方面其往往依赖于其他代码库和组件,从而导致安全风险的传递,统计数据显示,汽车行业三分之一的代码库包含高风险漏洞,加之开源软件的广泛使用,极有可能将安全风险范围进一步扩大;另一方面,开源软件还面临供应链“投毒”风险,攻击者可以通过恶意破坏开源组件导致供应链下游软件遭到破坏。此外,开源后门植入和开源数据泄露风险导致的安全事件也屡见不鲜,严重威胁着整个行业的安全。
3. 行业软件管理维护及更新不足
行业的快速发展带来了汽车软件规模和复杂度的持续提升,现阶段由于运营模式、开发效率以及成本控制等多方面的限制,针对汽车软件的管理面临着诸多困难,最终致使行业软件管理维护及更新不足,运营安全风险日益增加。根据Cybellum《2023年汽车安全展望:实现安全的未来》报告,24%的汽车软件产品包含10年以上的老版本软件,例如bzip2-1.0.6、libcap-2.22、zlib-1.2.8等,这些老版本的组件库会直接关联各种漏洞,进而给车辆带来不同程度的安全风险,部分CVSS 3.0评分为10.0的CVE漏洞仍然存在于车辆的嵌入式软件组件中。同时,长期未维护的开源代码库也往往存在更高的安全风险,统计显示,91%的代码库包含至少比最新版本落后10个版本的开源代码,49%的代码库包含2年内未更新的组件,在汽车上广泛使用的部分开源软件项目也面临长时间无人维护更新,继续使用这些软件组件将导致运营安全风险日益增加。
(二)智能网联汽车软件安全风险危害分析
相较于其他智能设备,智能网联汽车运行场景的特殊性与系统架构的复杂性,决定了其安全风险的潜在危害更具破坏性。其高速动态运行特性、庞大的系统规模以及高频的数据交互,使得软件安全漏洞一旦被触发,将迅速波及驾乘安全、交通秩序乃至国家安全等多个关键领域。
1. 安全漏洞威胁驾乘安全
软件定义汽车时代下,汽车逐渐发展成为与电脑、手机等类似的与消费者有多重交互的电子产品,随着汽车软件服务的增多,车辆不可避免地会存在软件安全漏洞。但与传统电子产品不同,汽车软件系统复杂、代码量大,且汽车软件安全漏洞一旦被黑客恶意利用,可能导致车辆失窃、重要数据泄露、车辆转向及刹车控制等,轻则造成车辆财产损失,重则直接威胁驾乘人员的人身安全。
2. 功能安全问题易造成安全事故
车辆的智能化、网联化功能高度依赖软件,一旦软件出现故障或者误判,例如决策算法逻辑缺陷、传感器数据处理错误或通信中断等,可能导致车辆在行驶过程中出现失控或者误操作,引发车辆碰撞或者失控等交通安全事故,影响社会安全。
3. 远程攻击带来车辆非法控制风险
随着汽车功能的丰富和服务的不断升级,越来越多的远程控车功能被广泛使用,用户可以通过手机控车软件连接至车辆或者云端以实现远程开关车门、启动关闭引擎、灯光控制和鸣笛等操作。一旦远程服务软件被恶意攻击者攻破,攻击者就可以通过互联网远程入侵车辆的控制系统,且远程服务端被非法入侵可能造成批量非法控车,使得风险等级大大提高。
二、智能网联汽车软件安全治理国际做法经验
近年来,以电信、金融、医疗等领域为热点攻击对象的软件供应链安全事件也引起了世界各国的高度重视,在软件安全治理方面也推出了一系列的治理举措,也已经有针对汽车行业的专门实践,有必要总结相关的治理做法,从而提炼出可以指导汽车行业软件安全治理的先进经验。
(一)政策法规维度
针对软件供应链的安全保护,美国受到SolarWinds供应链攻击、微软Exchange漏洞攻击事件的警醒,早在2021年发布的《关于改善国家网络安全的行政令》(EO 14028)中,就提出了针对软件开发建立基线安全标准、确保信息技术服务提供商与政府共享威胁信息、设立网络安全审查委员会等要求,其中,要求联邦机构应在切实可行的范围内,确保其采购或使用的软件是根据安全软件开发实践开发和维护的,包括提供软件物料清单(Software Bill of Materials,SBOM),其中列出所使用的库、依赖项和自定义源代码等组件。美国食品药品监督管理局(FDA)规定,自2023年3月起,所有使用软件的医疗设备都必须创建并维护SBOM。2024年3月,欧洲议会宣布批准了《网络韧性法案》,法规要求所有出口欧洲的数字产品都必须提供安全保障、SBOM、漏洞报告机制和为期五年的补丁更新。
(二)实践指南维度
为了进一步帮助行业企业高效落地开展软件安全治理,在实践指导维度,各国也发布了系列指南文件。2023年11月,美国多个政府机构部门联合发布《保障软件供应链安全:SBOM实践应用相关指南》,详细地提供了在软件供应链中使用开源软件的准则以及SBOM使用最佳实践,并强调将供应链风险评估分配到采购决策中,持续更新和评估软件产品的威胁与风险。2023年7月,日本经济产业省(METI)商务和信息政策局发布《软件管理引入软件物料清单(SBOM)指南1.0版》,面向软件供应商和使用方提供了采用SBOM开展软件管理的具体实践指南。相关指南提供了对于SBOM生成、交付、使用以及实施等多个环节的相关指导性建议,从而实现和保障软件供应链中各利益相关方的网络安全。同时,在漏洞利用性方面,美国国家电信和信息管理局(NTIA)于2021年推出漏洞可利用性交换(Vulnerability Exploitability eXchange,VEX),可与SBOM配合判断有关软件产品是否受到特定漏洞的影响。
(三)行业生态维度
在跨行业软件安全治理方面,GitHub、Google、IBM等行业巨头于2020年联合牵头成立开源软件安全基金会(OpenSSF),通过建立开源开发者最佳实践、保护关键项目、开源项目安全威胁识别、供应链完整性、安全工具和漏洞披露等专项工作组,以提高开源软件安全性。在汽车行业,日本汽车信息共享与分析中心(Japan Automotive ISAC,J-Auto-ISAC)于2023年4月成立了软件物料清单工作组(Software Bill of Materials-Software Working Group,SBOM-SWG),专门致力于促进提升汽车行业软件供应链的透明度,重点针对有效管理和跟踪汽车软件组件的安全性。自2023年10月起,该中心同北美汽车信息共享与分析中心就SBOM工作开展合作,探索建立国际性的统一标准。2024年,J-Auto-ISAC宣布计划于2025年统一日本汽车SBOM规则,以记录车载软件中的关键信息并应对潜在安全漏洞。
总体来看,各行业围绕软件开发安全、软件供应链安全、软件漏洞披露共享等在政策法规、实践指南及行业生态维度采取了一系列治理举措,且均重点围绕SBOM开展软件供应链透明度提升、威胁识别和漏洞披露跟踪等重点工作。
三、启示、思考及建议
汽车作为新的高集成化软件集合体,智能网联汽车中软件安全问题会直接对车辆安全、用户隐私乃至公共安全构成严重威胁,为进一步提升智能网联汽车软件安全治理水平,参考国际各行业软件安全治理经验,可从顶层设计、技术创新和行业生态等多方面协同发力。
(一)完善顶层设计,从企业维度和产品维度完善政策法规及标准建设
重视汽车行业软件质量管理,加快推动相关政策规范制定工作,尤其是针对汽车企业在产品全生命周期过程中的软件安全管理要求以及车辆产品的软件安全基线要求,并做好相关技术标准的配套工作,提升汽车行业软件安全治理制度化、规范化、程序化水平。进一步研判将SBOM纳入汽车行业信息安全监管的必要性,并探索建立车联网关键设备的SBOM强制性认证制度。同时,在行业指导维度,统筹推进汽车行业软件安全治理实践指南的制定,以行业相关主管部门作为牵头单位,联合行业研究机构、重点行业企业等主体,从行业实际需求出发,梳理适合我国国情的汽车软件治理方案,供业内相关主体用作落地实践参考。在汽车行业软件供应链风险管控维度,应设置一定的行业供应商准入门槛,并要求汽车生产企业通过合同协议或其他方式强化对软件供应商的约束及管理,增强汽车供应链的透明度,以便汽车企业能够从源头上强化软件安全风险管控。从意识层面、行业指南层面、行业监管层面等多维度入手,强化汽车行业的软件安全治理制度保障。
(二)加强技术研发,强化汽车行业亟须的软件安全治理关键技术攻关
针对当前汽车行业软件安全存在的软件成分信息不透明、漏洞识别难度大、漏洞验证门槛高以及潜在的开源软件知识产权合规风险等行业共性问题,应加强车联网专用软件安全工具链的研发及技术攻关,面向智能网联汽车软件安全需求开展专门研究,包括汽车软件安全开发流程体系、车联网软件成分分析技术、安全风险静态检测及动态检测技术、模糊检测技术等。研发端到端的车联网软件安全生命周期管理工具,升级汽车产品开发模型,在车联网开发、安全与运维(DevSecOps)框架中集成软件安全管理体系及SBOM生成和安全扫描等关键技术,结合自动化漏洞扫描工具,基于SBOM自动生成补丁,修复漏洞并发布更新,从而实现从原型车设计、零部件开发,到后期远程升级技术(OTA)更新等各个环节都通过SBOM进行安全审查和管理,实现汽车软件研发全生命周期的自动化安全漏洞管理,为汽车软件的安全研发提供可靠保护。
(三)发挥行业力量,鼓励行业组织探索建立汽车行业软件安全治理组织
借鉴国际做法,支持并推动行业研究机构、第三方组织等牵头成立我国汽车行业软件安全治理组织或行业联盟,鼓励共同开展汽车软件安全治理相关研究工作。搭建行业级的合作和交流平台,汇聚政府部门、研究机构及企业的各类资源,在组织内开展技术交流、数据共享、软件漏洞披露以及最佳实践共享等。组织应包含汽车生产企业、零部件供应商、软件开发商、开源社区组织等,核心推动行业数据资源汇聚,重点是各车企、供应商和研究机构,在一定的范围内进行资产数据、安全数据的共享和汇集,从行业角度进一步提升汽车软件供应链透明度,探索行业级的软件安全风险数据交换机制,从而提升行业整体的安全防御能力。
四、结 语
随着智能化、网联化的进程加快,汽车日益成为一个高利用价值的移动智能终端,数据量激增和互联接口增加使得对其网络攻击更加有利可图,吸引了更多的黑客和恶意组织将攻击方向转向汽车行业,而软件安全问题则不可避免地成为恶意攻击的突破口。不同于其他行业,汽车软件安全问题一旦被恶意利用,可能会造成个人隐私泄露、财产损失等不良影响,严重的还会对交通运行安全、社会公共安全乃至国家安全构成重大威胁。借鉴各行业软件安全治理的做法经验,应当构建自上而下的汽车软件安全治理体系,逐步配套标准规范,加强供应链风险管控,强化关键核心技术攻关,同时充分发挥生态力量,从多维度逐步筑牢汽车行业软件安全。
(本文刊登于《中国信息安全》杂志2025年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
