該報(bào)告由新思科技及國際自動機(jī)工程師學(xué)會聯(lián)合發(fā)布

　　當(dāng)汽車安全成為軟件的一項(xiàng)功能時(shí)，軟件安全問題就變得至關(guān)重要，特別是在涉及聯(lián)網(wǎng)車輛和自動駕駛汽車等新興領(lǐng)域時(shí)。然而，目前的軟件安全并未與汽車行業(yè)的技術(shù)發(fā)展保持同步。

　　美國新思科技公司 (Synopsys, Nasdaq: SNPS) 與國際自動機(jī)工程師學(xué)會（SAE International）

　　于近日聯(lián)合發(fā)布了《保護(hù)現(xiàn)代車輛的安全：汽車工業(yè)網(wǎng)絡(luò)安全實(shí)踐研究》報(bào)告。SAE International是一家協(xié)會，面向全球航空航天、汽車和商用車行業(yè)的工程師和相關(guān)技術(shù)專家。Ponemon 研究所在全球范圍內(nèi)面向汽車制造商和供應(yīng)商進(jìn)行訪問研究，分析總結(jié)了影響汽車行業(yè)許多企業(yè)的關(guān)鍵網(wǎng)絡(luò)安全挑戰(zhàn)和不足。84%的受訪者擔(dān)心網(wǎng)絡(luò)安全實(shí)踐無法跟上日新月異的技術(shù)；30%沒有成熟的產(chǎn)品網(wǎng)絡(luò)安全計(jì)劃或團(tuán)隊(duì)；63%僅測試不到一半的硬件、軟件和其它技術(shù)，以尋找安全漏洞。

　　SAE International 地面車輛標(biāo)準(zhǔn)總監(jiān)Jack Pokrzywa表示：“SAE很榮幸與新思科技合作，共同向大家呈現(xiàn)這項(xiàng)研究的結(jié)果。它提供了真實(shí)的數(shù)據(jù)，切實(shí)反映了整個(gè)行業(yè)網(wǎng)絡(luò)安全專業(yè)人士的顧慮，并強(qiáng)調(diào)了行業(yè)發(fā)展的方向。過去十年，SAE成員一直致力于解決汽車系統(tǒng)開發(fā)生命周期中的網(wǎng)絡(luò)安全挑戰(zhàn)，并通過共同努力發(fā)布了SAE J3061?，世界上第一個(gè)汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。以研究結(jié)果為可靠依據(jù)，SAE已經(jīng)就緒號召整個(gè)行業(yè)，領(lǐng)導(dǎo)面向安全控制、技術(shù)培訓(xùn)、標(biāo)準(zhǔn)和最佳實(shí)踐的開發(fā)，進(jìn)而提升現(xiàn)代車輛的安全性?！?/p>

　　新思科技和SAE委托Ponemon 研究所開展調(diào)研，分析汽車行業(yè)當(dāng)前的網(wǎng)絡(luò)安全實(shí)踐及其解決互聯(lián)軟件車輛固有的軟件安全風(fēng)險(xiǎn)的能力。Ponemon是一家領(lǐng)先的IT安全研究機(jī)構(gòu)。Ponemon訪問了593名專業(yè)人員，他們來自全球汽車制造商、供應(yīng)商及相關(guān)服務(wù)領(lǐng)域。為了保證收集上來有見地的反饋，所有受訪者都需要參與評估或者從事汽車技術(shù)安全工作，包括信息娛樂系統(tǒng)、遠(yuǎn)程信息處理、 轉(zhuǎn)向系統(tǒng)、攝像頭、基于SoC系統(tǒng)的組件、無人駕駛及自動駕駛車輛，和WiFi及藍(lán)牙等RF技術(shù)。

　　新思科技軟件質(zhì)量與安全部門聯(lián)合總經(jīng)理Andreas Kuehlmann指出：“汽車行業(yè)中軟件、聯(lián)網(wǎng)和其它新興技術(shù)的激增促發(fā)了以前不存在的風(fēng)險(xiǎn) —— 網(wǎng)絡(luò)安全。這項(xiàng)研究強(qiáng)調(diào)了在整個(gè)系統(tǒng)開發(fā)生命周期和整個(gè)汽車供應(yīng)鏈中全面解決網(wǎng)絡(luò)安全的基本轉(zhuǎn)變的必要性。幸運(yùn)的是，解決這些挑戰(zhàn)所需的技術(shù)和最佳實(shí)踐已經(jīng)存在了，新思科技已經(jīng)做好準(zhǔn)備，助力汽車行業(yè)解決這些難題。”

　　其它重要發(fā)現(xiàn)：

　　缺乏必要的網(wǎng)絡(luò)安全資源和技能 。超過一半的受訪者表示他們的企業(yè)沒有為網(wǎng)絡(luò)安全投入足夠的預(yù)算和人力。62％的受訪者表示，他們不具備在產(chǎn)品開發(fā)時(shí)所需的必要網(wǎng)絡(luò)安全技能。

　　主動的網(wǎng)絡(luò)安全測試不是企業(yè)優(yōu)先考慮的事項(xiàng)。受訪者指出他們僅對不到50％的硬件、軟件和其它技術(shù)進(jìn)行了測試，來確定它們是否存在漏洞。此外，71％的受訪者認(rèn)為，為了滿足產(chǎn)品截止日期的壓力是導(dǎo)致出現(xiàn)安全漏洞的主要因素。

　　開發(fā)人員需要網(wǎng)絡(luò)安全培訓(xùn)。只有33％的受訪者表示他們的企業(yè)會培訓(xùn)開發(fā)人員使用安全的編碼方法。此外，60％的受訪者表示缺乏對安全編碼實(shí)踐的理解或培訓(xùn)是導(dǎo)致漏洞的主要因素。

　　汽車供應(yīng)鏈中的漏洞存在重大風(fēng)險(xiǎn)。73％的受訪者非常關(guān)注第三方提供的汽車技術(shù)的網(wǎng)絡(luò)安全狀況。此外，只有44％的受訪者表示，其企業(yè)對上游供應(yīng)商提供的產(chǎn)品提出網(wǎng)絡(luò)安全方面的要求。

　　網(wǎng)絡(luò)安全不應(yīng)被視為一個(gè)成本中心，也不應(yīng)當(dāng)在生產(chǎn)結(jié)束時(shí)才加以應(yīng)對，而應(yīng)當(dāng)將其納入系統(tǒng)工程流程的每個(gè)步驟中，以指導(dǎo)整個(gè)產(chǎn)品開發(fā)生命周期– 尤其是安全軟件開發(fā)生命周期（SSDLC）。借鑒其他行業(yè)已經(jīng)開發(fā)出的指南、最佳實(shí)踐和標(biāo)準(zhǔn)，汽車公司能夠享受到廣泛的解決方案。這種實(shí)現(xiàn)網(wǎng)絡(luò)安全的嚴(yán)格方法，對于實(shí)現(xiàn)增強(qiáng)的安保能力，同時(shí)確保安全性、質(zhì)量和快速上市，都至關(guān)重要。