文 | 中汽智聯(lián)技術有限公司 李翠萍 張巧

隨著智能網(wǎng)聯(lián)汽車功能的不斷豐富，汽車已從傳統(tǒng)機械裝置演變?yōu)榧呻娮酉到y(tǒng)和軟件的智能化終端。在機械驅(qū)動向軟件驅(qū)動轉(zhuǎn)型的過程中，軟件體系差異日益成為汽車價值差異化的關鍵，軟件及服務能力逐漸成為汽車產(chǎn)業(yè)的核心競爭力。然而，伴隨技術迭代加速，智能網(wǎng)聯(lián)汽車軟件安全風險呈顯著上升趨勢。中汽信息安全研究中心2023年發(fā)布的汽車行業(yè)十大風險報告顯示，安全風險的本質(zhì)多源于不安全的固件和軟件代碼，“車輛固件和軟件存在已知漏洞”和“車輛固件和軟件可被非授權獲取”在十大風險源中分別位列第二和第三。全球汽車行業(yè)因軟件安全問題引發(fā)的安全事件也頻繁發(fā)生。針對智能網(wǎng)聯(lián)汽車，由于部分產(chǎn)品間可能還存在系統(tǒng)軟件復用的情況，因此，一旦出現(xiàn)軟件安全漏洞，則可能導致大量的車輛產(chǎn)品面臨安全風險，影響范圍廣泛。例如，2021年6月，特斯拉汽車宣布召回28萬余輛不同型號的電動汽車，相關召回車輛存在主動巡航控制系統(tǒng)安全問題，易造成駕駛員部分情形誤激活主動巡航功能，可能導致車輛速度突增，給安全駕駛帶來極大安全風險。2022年7月，本田無鑰匙進入系統(tǒng)被曝存在重放攻擊漏洞，影響幾乎所有本田系列車輛，黑客可遠程開鎖甚至啟動，給車輛財產(chǎn)和駕乘人員生命安全帶來極高風險。由此可見，重視智能網(wǎng)聯(lián)汽車軟件安全風險，提高汽車行業(yè)的軟件安全治理水平顯得尤為重要。

一、智能網(wǎng)聯(lián)汽車軟件安全風險分析

隨著互聯(lián)網(wǎng)和信息技術的飛速發(fā)展，軟件已經(jīng)成為現(xiàn)代社會不可或缺的一部分，軟件安全問題在各行業(yè)都引發(fā)了高度重視。在汽車產(chǎn)業(yè)智能化、網(wǎng)聯(lián)化轉(zhuǎn)型進程中，智能網(wǎng)聯(lián)汽車高度集成的軟件系統(tǒng)，使其軟件安全風險呈現(xiàn)獨特性與復雜性，亟需開展系統(tǒng)性研究與應對。

（一）智能網(wǎng)聯(lián)汽車軟件安全風險由來分析

智能網(wǎng)聯(lián)汽車軟件安全風險并非孤立存在，其背后交織著產(chǎn)業(yè)生態(tài)與技術架構的多重因素。汽車行業(yè)供應鏈復雜、開源軟件廣泛應用以及軟件管理體系尚不完善等現(xiàn)狀，共同催生了日益嚴峻的安全風險，需從開發(fā)流程、技術應用、管理機制等維度深挖根源。

1. 多主體參與的軟件開發(fā)流程

智能網(wǎng)聯(lián)汽車軟件架構日益復雜，多主體參與的軟件開發(fā)流程增加了安全風險。智能網(wǎng)聯(lián)汽車嵌入式軟件架構可以大致分為系統(tǒng)架構、電子控制單元（Electronic Control Unit，ECU）、軟件組件（Software Component，SWC）三個層級，SWC層級可以細分為應用軟件（Application Software，ASW）和基礎軟件（Basic Software，BSW）。整車軟件開發(fā)工作工程量巨大，以單芯片艙駕融合軟件系統(tǒng)為例，系統(tǒng)涉及QNX、Linux等諸多的操作系統(tǒng)，其中，QNX約有1300萬行代碼，Linux kernel約4800萬行，AUTOSAR約8200萬行，安卓車機約2億行，同時，每家汽車制造商還有自己的架構平臺，平臺供應商平均就有300至600家。當前，汽車主機廠的部分ECU是直接從供應商采購或委外開發(fā)，對于涉及關鍵核心技術的ECU，主機廠可能負責算法和策略軟件的開發(fā)及軟件集成，對于BSW往往還是委外開發(fā)。從發(fā)展趨勢上看，雖然目前主機廠正在逐步形成自有軟件團隊，轉(zhuǎn)向自主開發(fā)或與供應商合作進行白盒開發(fā)，但受現(xiàn)階段的開發(fā)模式限制，智能網(wǎng)聯(lián)汽車軟件開發(fā)涉及參與主體眾多，不僅導致主機廠對車輛產(chǎn)品軟件資產(chǎn)可見性有限，也使得對于車輛產(chǎn)品的軟件質(zhì)量和軟件安全的把控難度增加。

2. 開源組件引入的開源安全風險

智能網(wǎng)聯(lián)汽車產(chǎn)品中的開源軟件不斷增多，不可避免地引入開源安全風險?，F(xiàn)代軟件大部分是由組件組成的，軟件中的90%的代碼由第三方編寫，包含了商業(yè)組件和開源組件。開源組件（Open Source Software，OSS），又稱開放源代碼軟件，是指遵循開源許可證的軟件工具、庫、接口或固件，可以被任何人自由地使用、修改和分發(fā)。這些組件通常由社區(qū)維護和支持，旨在幫助開發(fā)人員快速構建軟件并提高開發(fā)效率。根據(jù)網(wǎng)絡安全公司Cybellum《2022年汽車網(wǎng)絡安全現(xiàn)狀報告》統(tǒng)計，汽車產(chǎn)品中最常用的十大組件均為開源組件。新思科技《2024年度開源安全與風險分析報告》的統(tǒng)計分析結果也顯示，統(tǒng)計樣本中的所有汽車行業(yè)代碼庫均包含開源代碼。對于開源軟件，一方面其往往依賴于其他代碼庫和組件，從而導致安全風險的傳遞，統(tǒng)計數(shù)據(jù)顯示，汽車行業(yè)三分之一的代碼庫包含高風險漏洞，加之開源軟件的廣泛使用，極有可能將安全風險范圍進一步擴大；另一方面，開源軟件還面臨供應鏈“投毒”風險，攻擊者可以通過惡意破壞開源組件導致供應鏈下游軟件遭到破壞。此外，開源后門植入和開源數(shù)據(jù)泄露風險導致的安全事件也屢見不鮮，嚴重威脅著整個行業(yè)的安全。

3. 行業(yè)軟件管理維護及更新不足

行業(yè)的快速發(fā)展帶來了汽車軟件規(guī)模和復雜度的持續(xù)提升，現(xiàn)階段由于運營模式、開發(fā)效率以及成本控制等多方面的限制，針對汽車軟件的管理面臨著諸多困難，最終致使行業(yè)軟件管理維護及更新不足，運營安全風險日益增加。根據(jù)Cybellum《2023年汽車安全展望：實現(xiàn)安全的未來》報告，24%的汽車軟件產(chǎn)品包含10年以上的老版本軟件，例如bzip2-1.0.6、libcap-2.22、zlib-1.2.8等，這些老版本的組件庫會直接關聯(lián)各種漏洞，進而給車輛帶來不同程度的安全風險，部分CVSS 3.0評分為10.0的CVE漏洞仍然存在于車輛的嵌入式軟件組件中。同時，長期未維護的開源代碼庫也往往存在更高的安全風險，統(tǒng)計顯示，91%的代碼庫包含至少比最新版本落后10個版本的開源代碼，49%的代碼庫包含2年內(nèi)未更新的組件，在汽車上廣泛使用的部分開源軟件項目也面臨長時間無人維護更新，繼續(xù)使用這些軟件組件將導致運營安全風險日益增加。

（二）智能網(wǎng)聯(lián)汽車軟件安全風險危害分析

相較于其他智能設備，智能網(wǎng)聯(lián)汽車運行場景的特殊性與系統(tǒng)架構的復雜性，決定了其安全風險的潛在危害更具破壞性。其高速動態(tài)運行特性、龐大的系統(tǒng)規(guī)模以及高頻的數(shù)據(jù)交互，使得軟件安全漏洞一旦被觸發(fā)，將迅速波及駕乘安全、交通秩序乃至國家安全等多個關鍵領域。

1. 安全漏洞威脅駕乘安全

軟件定義汽車時代下，汽車逐漸發(fā)展成為與電腦、手機等類似的與消費者有多重交互的電子產(chǎn)品，隨著汽車軟件服務的增多，車輛不可避免地會存在軟件安全漏洞。但與傳統(tǒng)電子產(chǎn)品不同，汽車軟件系統(tǒng)復雜、代碼量大，且汽車軟件安全漏洞一旦被黑客惡意利用，可能導致車輛失竊、重要數(shù)據(jù)泄露、車輛轉(zhuǎn)向及剎車控制等，輕則造成車輛財產(chǎn)損失，重則直接威脅駕乘人員的人身安全。

2. 功能安全問題易造成安全事故

車輛的智能化、網(wǎng)聯(lián)化功能高度依賴軟件，一旦軟件出現(xiàn)故障或者誤判，例如決策算法邏輯缺陷、傳感器數(shù)據(jù)處理錯誤或通信中斷等，可能導致車輛在行駛過程中出現(xiàn)失控或者誤操作，引發(fā)車輛碰撞或者失控等交通安全事故，影響社會安全。

3. 遠程攻擊帶來車輛非法控制風險

隨著汽車功能的豐富和服務的不斷升級，越來越多的遠程控車功能被廣泛使用，用戶可以通過手機控車軟件連接至車輛或者云端以實現(xiàn)遠程開關車門、啟動關閉引擎、燈光控制和鳴笛等操作。一旦遠程服務軟件被惡意攻擊者攻破，攻擊者就可以通過互聯(lián)網(wǎng)遠程入侵車輛的控制系統(tǒng)，且遠程服務端被非法入侵可能造成批量非法控車，使得風險等級大大提高。

二、智能網(wǎng)聯(lián)汽車軟件安全治理國際做法經(jīng)驗

近年來，以電信、金融、醫(yī)療等領域為熱點攻擊對象的軟件供應鏈安全事件也引起了世界各國的高度重視，在軟件安全治理方面也推出了一系列的治理舉措，也已經(jīng)有針對汽車行業(yè)的專門實踐，有必要總結相關的治理做法，從而提煉出可以指導汽車行業(yè)軟件安全治理的先進經(jīng)驗。

（一）政策法規(guī)維度

針對軟件供應鏈的安全保護，美國受到SolarWinds供應鏈攻擊、微軟Exchange漏洞攻擊事件的警醒，早在2021年發(fā)布的《關于改善國家網(wǎng)絡安全的行政令》（EO 14028）中，就提出了針對軟件開發(fā)建立基線安全標準、確保信息技術服務提供商與政府共享威脅信息、設立網(wǎng)絡安全審查委員會等要求，其中，要求聯(lián)邦機構應在切實可行的范圍內(nèi)，確保其采購或使用的軟件是根據(jù)安全軟件開發(fā)實踐開發(fā)和維護的，包括提供軟件物料清單（Software Bill of Materials，SBOM），其中列出所使用的庫、依賴項和自定義源代碼等組件。美國食品藥品監(jiān)督管理局（FDA）規(guī)定，自2023年3月起，所有使用軟件的醫(yī)療設備都必須創(chuàng)建并維護SBOM。2024年3月，歐洲議會宣布批準了《網(wǎng)絡韌性法案》，法規(guī)要求所有出口歐洲的數(shù)字產(chǎn)品都必須提供安全保障、SBOM、漏洞報告機制和為期五年的補丁更新。

（二）實踐指南維度

為了進一步幫助行業(yè)企業(yè)高效落地開展軟件安全治理，在實踐指導維度，各國也發(fā)布了系列指南文件。2023年11月，美國多個政府機構部門聯(lián)合發(fā)布《保障軟件供應鏈安全：SBOM實踐應用相關指南》，詳細地提供了在軟件供應鏈中使用開源軟件的準則以及SBOM使用最佳實踐，并強調(diào)將供應鏈風險評估分配到采購決策中，持續(xù)更新和評估軟件產(chǎn)品的威脅與風險。2023年7月，日本經(jīng)濟產(chǎn)業(yè)省（METI）商務和信息政策局發(fā)布《軟件管理引入軟件物料清單（SBOM）指南1.0版》，面向軟件供應商和使用方提供了采用SBOM開展軟件管理的具體實踐指南。相關指南提供了對于SBOM生成、交付、使用以及實施等多個環(huán)節(jié)的相關指導性建議，從而實現(xiàn)和保障軟件供應鏈中各利益相關方的網(wǎng)絡安全。同時，在漏洞利用性方面，美國國家電信和信息管理局（NTIA）于2021年推出漏洞可利用性交換（Vulnerability Exploitability eXchange，VEX），可與SBOM配合判斷有關軟件產(chǎn)品是否受到特定漏洞的影響。

（三）行業(yè)生態(tài)維度

在跨行業(yè)軟件安全治理方面，GitHub、Google、IBM等行業(yè)巨頭于2020年聯(lián)合牽頭成立開源軟件安全基金會（OpenSSF），通過建立開源開發(fā)者最佳實踐、保護關鍵項目、開源項目安全威脅識別、供應鏈完整性、安全工具和漏洞披露等專項工作組，以提高開源軟件安全性。在汽車行業(yè)，日本汽車信息共享與分析中心（Japan Automotive ISAC，J-Auto-ISAC）于2023年4月成立了軟件物料清單工作組（Software Bill of Materials-Software Working Group，SBOM-SWG），專門致力于促進提升汽車行業(yè)軟件供應鏈的透明度，重點針對有效管理和跟蹤汽車軟件組件的安全性。自2023年10月起，該中心同北美汽車信息共享與分析中心就SBOM工作開展合作，探索建立國際性的統(tǒng)一標準。2024年，J-Auto-ISAC宣布計劃于2025年統(tǒng)一日本汽車SBOM規(guī)則，以記錄車載軟件中的關鍵信息并應對潛在安全漏洞。

總體來看，各行業(yè)圍繞軟件開發(fā)安全、軟件供應鏈安全、軟件漏洞披露共享等在政策法規(guī)、實踐指南及行業(yè)生態(tài)維度采取了一系列治理舉措，且均重點圍繞SBOM開展軟件供應鏈透明度提升、威脅識別和漏洞披露跟蹤等重點工作。

三、啟示、思考及建議

汽車作為新的高集成化軟件集合體，智能網(wǎng)聯(lián)汽車中軟件安全問題會直接對車輛安全、用戶隱私乃至公共安全構成嚴重威脅，為進一步提升智能網(wǎng)聯(lián)汽車軟件安全治理水平，參考國際各行業(yè)軟件安全治理經(jīng)驗，可從頂層設計、技術創(chuàng)新和行業(yè)生態(tài)等多方面協(xié)同發(fā)力。

（一）完善頂層設計，從企業(yè)維度和產(chǎn)品維度完善政策法規(guī)及標準建設

重視汽車行業(yè)軟件質(zhì)量管理，加快推動相關政策規(guī)范制定工作，尤其是針對汽車企業(yè)在產(chǎn)品全生命周期過程中的軟件安全管理要求以及車輛產(chǎn)品的軟件安全基線要求，并做好相關技術標準的配套工作，提升汽車行業(yè)軟件安全治理制度化、規(guī)范化、程序化水平。進一步研判將SBOM納入汽車行業(yè)信息安全監(jiān)管的必要性，并探索建立車聯(lián)網(wǎng)關鍵設備的SBOM強制性認證制度。同時，在行業(yè)指導維度，統(tǒng)籌推進汽車行業(yè)軟件安全治理實踐指南的制定，以行業(yè)相關主管部門作為牽頭單位，聯(lián)合行業(yè)研究機構、重點行業(yè)企業(yè)等主體，從行業(yè)實際需求出發(fā)，梳理適合我國國情的汽車軟件治理方案，供業(yè)內(nèi)相關主體用作落地實踐參考。在汽車行業(yè)軟件供應鏈風險管控維度，應設置一定的行業(yè)供應商準入門檻，并要求汽車生產(chǎn)企業(yè)通過合同協(xié)議或其他方式強化對軟件供應商的約束及管理，增強汽車供應鏈的透明度，以便汽車企業(yè)能夠從源頭上強化軟件安全風險管控。從意識層面、行業(yè)指南層面、行業(yè)監(jiān)管層面等多維度入手，強化汽車行業(yè)的軟件安全治理制度保障。

（二）加強技術研發(fā)，強化汽車行業(yè)亟須的軟件安全治理關鍵技術攻關

針對當前汽車行業(yè)軟件安全存在的軟件成分信息不透明、漏洞識別難度大、漏洞驗證門檻高以及潛在的開源軟件知識產(chǎn)權合規(guī)風險等行業(yè)共性問題，應加強車聯(lián)網(wǎng)專用軟件安全工具鏈的研發(fā)及技術攻關，面向智能網(wǎng)聯(lián)汽車軟件安全需求開展專門研究，包括汽車軟件安全開發(fā)流程體系、車聯(lián)網(wǎng)軟件成分分析技術、安全風險靜態(tài)檢測及動態(tài)檢測技術、模糊檢測技術等。研發(fā)端到端的車聯(lián)網(wǎng)軟件安全生命周期管理工具，升級汽車產(chǎn)品開發(fā)模型，在車聯(lián)網(wǎng)開發(fā)、安全與運維（DevSecOps）框架中集成軟件安全管理體系及SBOM生成和安全掃描等關鍵技術，結合自動化漏洞掃描工具，基于SBOM自動生成補丁，修復漏洞并發(fā)布更新，從而實現(xiàn)從原型車設計、零部件開發(fā)，到后期遠程升級技術（OTA）更新等各個環(huán)節(jié)都通過SBOM進行安全審查和管理，實現(xiàn)汽車軟件研發(fā)全生命周期的自動化安全漏洞管理，為汽車軟件的安全研發(fā)提供可靠保護。

（三）發(fā)揮行業(yè)力量，鼓勵行業(yè)組織探索建立汽車行業(yè)軟件安全治理組織

借鑒國際做法，支持并推動行業(yè)研究機構、第三方組織等牽頭成立我國汽車行業(yè)軟件安全治理組織或行業(yè)聯(lián)盟，鼓勵共同開展汽車軟件安全治理相關研究工作。搭建行業(yè)級的合作和交流平臺，匯聚政府部門、研究機構及企業(yè)的各類資源，在組織內(nèi)開展技術交流、數(shù)據(jù)共享、軟件漏洞披露以及最佳實踐共享等。組織應包含汽車生產(chǎn)企業(yè)、零部件供應商、軟件開發(fā)商、開源社區(qū)組織等，核心推動行業(yè)數(shù)據(jù)資源匯聚，重點是各車企、供應商和研究機構，在一定的范圍內(nèi)進行資產(chǎn)數(shù)據(jù)、安全數(shù)據(jù)的共享和匯集，從行業(yè)角度進一步提升汽車軟件供應鏈透明度，探索行業(yè)級的軟件安全風險數(shù)據(jù)交換機制，從而提升行業(yè)整體的安全防御能力。

四、結 語

隨著智能化、網(wǎng)聯(lián)化的進程加快，汽車日益成為一個高利用價值的移動智能終端，數(shù)據(jù)量激增和互聯(lián)接口增加使得對其網(wǎng)絡攻擊更加有利可圖，吸引了更多的黑客和惡意組織將攻擊方向轉(zhuǎn)向汽車行業(yè)，而軟件安全問題則不可避免地成為惡意攻擊的突破口。不同于其他行業(yè)，汽車軟件安全問題一旦被惡意利用，可能會造成個人隱私泄露、財產(chǎn)損失等不良影響，嚴重的還會對交通運行安全、社會公共安全乃至國家安全構成重大威脅。借鑒各行業(yè)軟件安全治理的做法經(jīng)驗，應當構建自上而下的汽車軟件安全治理體系，逐步配套標準規(guī)范，加強供應鏈風險管控，強化關鍵核心技術攻關，同時充分發(fā)揮生態(tài)力量，從多維度逐步筑牢汽車行業(yè)軟件安全。

（本文刊登于《中國信息安全》雜志2025年第4期）