該報(bào)告由新思科技及國(guó)際自動(dòng)機(jī)工程師學(xué)會(huì)聯(lián)合發(fā)布

　　當(dāng)汽車(chē)安全成為軟件的一項(xiàng)功能時(shí)，軟件安全問(wèn)題就變得至關(guān)重要，特別是在涉及聯(lián)網(wǎng)車(chē)輛和自動(dòng)駕駛汽車(chē)等新興領(lǐng)域時(shí)。然而，目前的軟件安全并未與汽車(chē)行業(yè)的技術(shù)發(fā)展保持同步。

　　美國(guó)新思科技公司 (Synopsys, Nasdaq: SNPS) 與國(guó)際自動(dòng)機(jī)工程師學(xué)會(huì)（SAE International）

　　于近日聯(lián)合發(fā)布了《保護(hù)現(xiàn)代車(chē)輛的安全：汽車(chē)工業(yè)網(wǎng)絡(luò)安全實(shí)踐研究》報(bào)告。SAE International是一家協(xié)會(huì)，面向全球航空航天、汽車(chē)和商用車(chē)行業(yè)的工程師和相關(guān)技術(shù)專(zhuān)家。Ponemon 研究所在全球范圍內(nèi)面向汽車(chē)制造商和供應(yīng)商進(jìn)行訪(fǎng)問(wèn)研究，分析總結(jié)了影響汽車(chē)行業(yè)許多企業(yè)的關(guān)鍵網(wǎng)絡(luò)安全挑戰(zhàn)和不足。84%的受訪(fǎng)者擔(dān)心網(wǎng)絡(luò)安全實(shí)踐無(wú)法跟上日新月異的技術(shù)；30%沒(méi)有成熟的產(chǎn)品網(wǎng)絡(luò)安全計(jì)劃或團(tuán)隊(duì)；63%僅測(cè)試不到一半的硬件、軟件和其它技術(shù)，以尋找安全漏洞。

　　SAE International 地面車(chē)輛標(biāo)準(zhǔn)總監(jiān)Jack Pokrzywa表示：“SAE很榮幸與新思科技合作，共同向大家呈現(xiàn)這項(xiàng)研究的結(jié)果。它提供了真實(shí)的數(shù)據(jù)，切實(shí)反映了整個(gè)行業(yè)網(wǎng)絡(luò)安全專(zhuān)業(yè)人士的顧慮，并強(qiáng)調(diào)了行業(yè)發(fā)展的方向。過(guò)去十年，SAE成員一直致力于解決汽車(chē)系統(tǒng)開(kāi)發(fā)生命周期中的網(wǎng)絡(luò)安全挑戰(zhàn)，并通過(guò)共同努力發(fā)布了SAE J3061?，世界上第一個(gè)汽車(chē)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。以研究結(jié)果為可靠依據(jù)，SAE已經(jīng)就緒號(hào)召整個(gè)行業(yè)，領(lǐng)導(dǎo)面向安全控制、技術(shù)培訓(xùn)、標(biāo)準(zhǔn)和最佳實(shí)踐的開(kāi)發(fā)，進(jìn)而提升現(xiàn)代車(chē)輛的安全性?！?/p>

　　新思科技和SAE委托Ponemon 研究所開(kāi)展調(diào)研，分析汽車(chē)行業(yè)當(dāng)前的網(wǎng)絡(luò)安全實(shí)踐及其解決互聯(lián)軟件車(chē)輛固有的軟件安全風(fēng)險(xiǎn)的能力。Ponemon是一家領(lǐng)先的IT安全研究機(jī)構(gòu)。Ponemon訪(fǎng)問(wèn)了593名專(zhuān)業(yè)人員，他們來(lái)自全球汽車(chē)制造商、供應(yīng)商及相關(guān)服務(wù)領(lǐng)域。為了保證收集上來(lái)有見(jiàn)地的反饋，所有受訪(fǎng)者都需要參與評(píng)估或者從事汽車(chē)技術(shù)安全工作，包括信息娛樂(lè)系統(tǒng)、遠(yuǎn)程信息處理、 轉(zhuǎn)向系統(tǒng)、攝像頭、基于SoC系統(tǒng)的組件、無(wú)人駕駛及自動(dòng)駕駛車(chē)輛，和WiFi及藍(lán)牙等RF技術(shù)。

　　新思科技軟件質(zhì)量與安全部門(mén)聯(lián)合總經(jīng)理Andreas Kuehlmann指出：“汽車(chē)行業(yè)中軟件、聯(lián)網(wǎng)和其它新興技術(shù)的激增促發(fā)了以前不存在的風(fēng)險(xiǎn) —— 網(wǎng)絡(luò)安全。這項(xiàng)研究強(qiáng)調(diào)了在整個(gè)系統(tǒng)開(kāi)發(fā)生命周期和整個(gè)汽車(chē)供應(yīng)鏈中全面解決網(wǎng)絡(luò)安全的基本轉(zhuǎn)變的必要性。幸運(yùn)的是，解決這些挑戰(zhàn)所需的技術(shù)和最佳實(shí)踐已經(jīng)存在了，新思科技已經(jīng)做好準(zhǔn)備，助力汽車(chē)行業(yè)解決這些難題。”

　　其它重要發(fā)現(xiàn)：

　　缺乏必要的網(wǎng)絡(luò)安全資源和技能 。超過(guò)一半的受訪(fǎng)者表示他們的企業(yè)沒(méi)有為網(wǎng)絡(luò)安全投入足夠的預(yù)算和人力。62％的受訪(fǎng)者表示，他們不具備在產(chǎn)品開(kāi)發(fā)時(shí)所需的必要網(wǎng)絡(luò)安全技能。

　　主動(dòng)的網(wǎng)絡(luò)安全測(cè)試不是企業(yè)優(yōu)先考慮的事項(xiàng)。受訪(fǎng)者指出他們僅對(duì)不到50％的硬件、軟件和其它技術(shù)進(jìn)行了測(cè)試，來(lái)確定它們是否存在漏洞。此外，71％的受訪(fǎng)者認(rèn)為，為了滿(mǎn)足產(chǎn)品截止日期的壓力是導(dǎo)致出現(xiàn)安全漏洞的主要因素。

　　開(kāi)發(fā)人員需要網(wǎng)絡(luò)安全培訓(xùn)。只有33％的受訪(fǎng)者表示他們的企業(yè)會(huì)培訓(xùn)開(kāi)發(fā)人員使用安全的編碼方法。此外，60％的受訪(fǎng)者表示缺乏對(duì)安全編碼實(shí)踐的理解或培訓(xùn)是導(dǎo)致漏洞的主要因素。

　　汽車(chē)供應(yīng)鏈中的漏洞存在重大風(fēng)險(xiǎn)。73％的受訪(fǎng)者非常關(guān)注第三方提供的汽車(chē)技術(shù)的網(wǎng)絡(luò)安全狀況。此外，只有44％的受訪(fǎng)者表示，其企業(yè)對(duì)上游供應(yīng)商提供的產(chǎn)品提出網(wǎng)絡(luò)安全方面的要求。

　　網(wǎng)絡(luò)安全不應(yīng)被視為一個(gè)成本中心，也不應(yīng)當(dāng)在生產(chǎn)結(jié)束時(shí)才加以應(yīng)對(duì)，而應(yīng)當(dāng)將其納入系統(tǒng)工程流程的每個(gè)步驟中，以指導(dǎo)整個(gè)產(chǎn)品開(kāi)發(fā)生命周期– 尤其是安全軟件開(kāi)發(fā)生命周期（SSDLC）。借鑒其他行業(yè)已經(jīng)開(kāi)發(fā)出的指南、最佳實(shí)踐和標(biāo)準(zhǔn)，汽車(chē)公司能夠享受到廣泛的解決方案。這種實(shí)現(xiàn)網(wǎng)絡(luò)安全的嚴(yán)格方法，對(duì)于實(shí)現(xiàn)增強(qiáng)的安保能力，同時(shí)確保安全性、質(zhì)量和快速上市，都至關(guān)重要。