搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      汽車軟件供應(yīng)鏈中的開源風(fēng)險

      星星科技指導(dǎo)員 ? 來源:嵌入式計算設(shè)計 ? 作者:Walter Capitani ? 2022-10-25 10:53 ? 次閱讀

      汽車中使用的大多數(shù)軟件組件都不是由汽車制造商自己甚至頂級供應(yīng)商直接開發(fā)的。軟件來自廣泛的供應(yīng)商,包括嵌入式 GUI 框架、中間件、操作系統(tǒng)、導(dǎo)航和電信軟件組件等。

      這些采購的軟件組件可以是儀表板信息娛樂系統(tǒng)的一部分,也可以是嵌入式系統(tǒng)(如整個車輛中使用的傳感器)的一部分。這種日益增加的復(fù)雜性和互操作性導(dǎo)致了供應(yīng)商之間的軟件協(xié)作,從而形成了一個同行的合作伙伴關(guān)系網(wǎng)絡(luò)(例如,福特和谷歌,通用汽車和Lyft)。

      由于汽車軟件組件是由許多不同的供應(yīng)商創(chuàng)建的,因此其中很大一部分包含開源。就像現(xiàn)在的任何軟件一樣,開源是生活中的事實。事實上,Android是汽車音響主機(jī)的流行平臺,它建立在Linux之上。其他例子是Genivi聯(lián)盟和汽車級Linux,這是專用于汽車應(yīng)用的開源平臺。

      據(jù)估計,2018年開源在汽車軟件堆棧中的比例約為50-70%。2021年2月的另一份演講顯示,無論開源是直接或間接用于其他專有的第三方組件,這一數(shù)字都約為66%。

      不“重新發(fā)明輪子”的生產(chǎn)力優(yōu)勢是顯而易見的。自由和開源軟件通常質(zhì)量很好,并且提供了顯著的好處,特別是當(dāng)用于整個子系統(tǒng)時。但是,安全性和質(zhì)量因軟件來源而異。在大多數(shù)情況下,您不確定重用的組件是否安全且高質(zhì)量,因此必須采取措施來減輕這種風(fēng)險。

      開源組件的不安全版本是汽車軟件中常見的安全漏洞。在某些情況下,漏洞已被識別和修補,但車輛中使用的組件尚未更新。

      缺乏開源組件或包含漏洞的組件的更新也是汽車制造商面臨的挑戰(zhàn)。盡管在汽車中修補軟件可能很困難,但確保軟件供應(yīng)鏈效仿是一項復(fù)雜的任務(wù)。有時更新不會出現(xiàn),因為作者甚至可能不知道開源。

      開源組件中隱藏的依賴關(guān)系是另一個關(guān)鍵的安全問題。開源依靠其他依賴項來運行是很常見的。依賴關(guān)系會增加安全風(fēng)險的范圍。其中一些依賴項沒有記錄,或者在專有軟件中使用,則完全隱藏。

      最后,許可是汽車軟件的潛在雷區(qū)。開源不一定可以在商業(yè)產(chǎn)品中免費使用,或者如果是,在產(chǎn)品中重新分發(fā)可能具有您需要滿足的法律要求。包含第三方軟件的設(shè)備正在重新分發(fā)其中使用的任何源代碼或二進(jìn)制文件,這是開源的獨特用例。如果不能正確管理所有第三方源和二進(jìn)制文件的許可證,則存在重大的法律風(fēng)險。

      管理開源軟件的風(fēng)險

      正如物料清單 (BOM) 有助于管理汽車生產(chǎn)中的物理庫存一樣,管理采購軟件的質(zhì)量和安全性需要從軟件 BOM(SBOM)開始。

      表面免疫機(jī)如何幫助管理風(fēng)險?

      實施軟件供應(yīng)鏈風(fēng)險管理計劃并使用 SBOM 對于改善最終產(chǎn)品的安全狀況至關(guān)重要。對于汽車軟件開發(fā),這種做法有助于滿足行業(yè)安全性和合規(guī)性要求

      SBOM 管理為制造商提供了以下好處:

      發(fā)現(xiàn):識別第三方代碼和 COTS/第三方軟件中的開源組件。檢測這些組件中的已知(N 天)和未知(零日)漏洞。這包括隱藏在二級和三級軟件提供商的二進(jìn)制文件中的開源組件。

      管理風(fēng)險:根據(jù)對代碼/軟件的可見性做出更明智的安全決策。遵守安全性、許可和供應(yīng)商風(fēng)險合規(guī)性要求。

      修復(fù):利用可操作的漏洞情報防范網(wǎng)絡(luò)安全威脅。簡化漏洞修復(fù)以降低軟件風(fēng)險。

      自動化軟件供應(yīng)鏈安全的目標(biāo)是深入了解為支持項目目標(biāo)而購買和部署的產(chǎn)品。需要SBOM和詳細(xì)的漏洞信息來真正了解車輛中使用的現(xiàn)有軟件的安全風(fēng)險。

      借助無需訪問源代碼即可分析二進(jìn)制應(yīng)用程序的新技術(shù),產(chǎn)品安全團(tuán)隊現(xiàn)在可以生成自己的詳細(xì)SBOM以及高級儀表板,以幫助分析和總結(jié)結(jié)果。此外,軟件漏洞報告對于編目 SBOM 中概述的軟件組件中的已知漏洞至關(guān)重要。

      尋找能夠生成人類和機(jī)器可讀輸出的 SBOM 工具,這些輸出可以導(dǎo)出并與其他組織共享,并與安全和風(fēng)險解決方案集成。人類可讀的格式應(yīng)該提供組件和報告漏洞的輕松導(dǎo)航。

      汽車行業(yè)在車輛中使用的物理部件的質(zhì)量、可靠性和安全性方面始終需要保持高度警惕。隨著越來越多的軟件被集成到他們的成品中,制造商不再能夠“相信”其產(chǎn)品中的嵌入式代碼沒有安全漏洞和缺陷。軟件供應(yīng)鏈風(fēng)險管理必須成為車輛質(zhì)量控制的關(guān)鍵支柱。

      審核編輯:郭婷

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 嵌入式
        +關(guān)注

        關(guān)注

        5089

        文章

        19169

        瀏覽量

        306747
      • 操作系統(tǒng)
        +關(guān)注

        關(guān)注

        37

        文章

        6874

        瀏覽量

        123564
      收藏 人收藏

        評論

        相關(guān)推薦

        東軟獲《電信和互聯(lián)網(wǎng)軟件供應(yīng)鏈安全能力成熟度模型》第三等級認(rèn)證

        供應(yīng)鏈安全治理體系的一項重要舉措,其核心在于通過全面評估供應(yīng)商的安全能力,確保供應(yīng)鏈各關(guān)鍵環(huán)節(jié)的安全性與穩(wěn)定性,從而有效防控風(fēng)險,推動行業(yè)
        的頭像 發(fā)表于 01-15 17:31 ?320次閱讀

        同星智能即將亮相第六屆汽車供應(yīng)鏈大會

        同星一周展會TOSUN.EXHIBIT第六屆汽車供應(yīng)鏈大會第六屆汽車供應(yīng)鏈大會將于2025年1月14-15日在上海舉辦,本屆汽車
        的頭像 發(fā)表于 01-10 20:04 ?432次閱讀
        同星智能即將亮相第六屆<b class='flag-5'>汽車</b>新<b class='flag-5'>供應(yīng)鏈</b>大會

        智能制造裝備行業(yè)的供應(yīng)鏈特點分析

        智能制造裝備行業(yè)供應(yīng)鏈涉及多個環(huán)節(jié),包括原材料采購、生產(chǎn)制造、物流配送和售后服務(wù)等,其特點包括復(fù)雜性與多樣性、全球化與分散性、技術(shù)密集型和快速變化性。供應(yīng)鏈面臨的挑戰(zhàn)包括數(shù)據(jù)孤島、信息不對稱、供應(yīng)鏈中斷
        的頭像 發(fā)表于 11-28 10:15 ?258次閱讀
        智能制造裝備行業(yè)的<b class='flag-5'>供應(yīng)鏈</b>特點分析

        活動回顧 艾體寶 開源軟件供應(yīng)鏈安全的最佳實踐 線下研討會圓滿落幕!

        艾體寶與Mend舉辦研討會,聚焦開源軟件供應(yīng)鏈安全,邀請行業(yè)專家分享合規(guī)管理、治理之路及最佳實踐,圓桌討論加深理解,助力企業(yè)更安全穩(wěn)健發(fā)展。
        的頭像 發(fā)表于 10-30 17:52 ?515次閱讀
        活動回顧 艾體寶 <b class='flag-5'>開源</b><b class='flag-5'>軟件</b><b class='flag-5'>供應(yīng)鏈</b>安全的最佳實踐 線下研討會圓滿落幕!

        經(jīng)緯恒潤榮獲2024中國汽車供應(yīng)鏈大會創(chuàng)新成果獎

        2024年9月24日-26日,2024中國汽車供應(yīng)鏈大會暨第三屆中國新能源智能網(wǎng)聯(lián)汽車生態(tài)大會在武漢隆重舉辦。本屆大會以“新挑戰(zhàn)、新對策、新機(jī)遇——推動中國汽車
        的頭像 發(fā)表于 10-01 08:00 ?648次閱讀
        經(jīng)緯恒潤榮獲2024<b class='flag-5'>中國汽車</b><b class='flag-5'>供應(yīng)鏈</b>大會創(chuàng)新成果獎

        深入了解半導(dǎo)體供應(yīng)鏈:特點、風(fēng)險與未來趨勢

        半導(dǎo)體是現(xiàn)代電子工業(yè)的核心,其供應(yīng)鏈涵蓋了從原材料提煉到最終產(chǎn)品應(yīng)用的整個過程。了解半導(dǎo)體供應(yīng)鏈對于理解當(dāng)今高科技產(chǎn)業(yè)的運作至關(guān)重要。本文將詳細(xì)介紹半導(dǎo)體供應(yīng)鏈的相關(guān)知識,包括其定義、主要環(huán)節(jié)、特點、挑戰(zhàn)以及未來發(fā)展趨勢。
        的頭像 發(fā)表于 07-11 09:42 ?1326次閱讀
        深入了解半導(dǎo)體<b class='flag-5'>供應(yīng)鏈</b>:特點、<b class='flag-5'>風(fēng)險</b>與未來趨勢

        英創(chuàng)匯智榮獲“創(chuàng)業(yè)邦&amp;汽信科2024中國汽車供應(yīng)鏈出海企業(yè)榜”殊榮

        ? 近日,備受行業(yè)矚目的“創(chuàng)業(yè)邦汽信科2024中國汽車供應(yīng)鏈出海企業(yè)榜”殊榮,不僅是對英創(chuàng)匯智技術(shù)實力和市場表現(xiàn)的充分認(rèn)可,更是對其在國際化道路上堅定前行的巨大鼓舞。同時,這一榮譽也將激勵更多
        的頭像 發(fā)表于 06-26 14:58 ?610次閱讀

        韓國承諾為電動汽車電池供應(yīng)鏈提供71億美元的援助計劃

        韓國政府承諾為電動汽車電池供應(yīng)鏈提供71億美元的援助計劃,旨在建立符合美國稅收減免規(guī)則的新供應(yīng)鏈,減少對中國的依賴。
        的頭像 發(fā)表于 05-10 15:30 ?1248次閱讀

        保隆科技榮獲“全球汽車供應(yīng)鏈生態(tài)伙伴獎-技術(shù)創(chuàng)新生態(tài)伙伴”

        近期,《中國汽車報》社在深圳舉行“2024汽車供應(yīng)鏈新生態(tài)大會”,保隆科技榮獲“全球汽車供應(yīng)鏈生態(tài)伙伴獎-技術(shù)創(chuàng)新生態(tài)伙伴”。
        的頭像 發(fā)表于 03-19 10:13 ?525次閱讀

        北斗智聯(lián)榮膺“全球汽車供應(yīng)鏈技術(shù)創(chuàng)新生態(tài)伙伴獎”

        近日,備受矚目的“2024汽車供應(yīng)鏈新生態(tài)大會暨全球汽車供應(yīng)鏈生態(tài)伙伴頒獎盛典”在深圳國際會展中心隆重舉行。在這場集結(jié)了眾多汽車
        的頭像 發(fā)表于 03-15 09:35 ?664次閱讀

        京東汽車全國汽車配件供應(yīng)鏈基地落戶中國車谷

         此外,京東規(guī)劃建設(shè)全國性的汽車配件銷售網(wǎng)絡(luò)平臺和數(shù)據(jù)研究中心,力求打造全國性的汽車配件供應(yīng)鏈骨干倉,攜手區(qū)內(nèi)整車及零部件制造商,共同提升汽車行業(yè)
        的頭像 發(fā)表于 03-13 16:02 ?635次閱讀

        移遠(yuǎn)通信榮獲全球汽車供應(yīng)鏈生態(tài)伙伴獎

        近日,備受矚目的“2024汽車供應(yīng)鏈新生態(tài)大會”在深圳國際會展中心盛大召開。本次大會匯聚了全球汽車供應(yīng)鏈的精英企業(yè),共同探討行業(yè)發(fā)展趨勢,分享創(chuàng)新成果。在大會的頒獎盛典上,全球領(lǐng)先的車
        的頭像 發(fā)表于 03-13 09:57 ?626次閱讀

        北斗智聯(lián)榮膺“全球汽車供應(yīng)鏈生態(tài)伙伴獎”

        3月8日,由《中國汽車報》社舉辦的“2024汽車供應(yīng)鏈新生態(tài)大會暨全球汽車供應(yīng)鏈生態(tài)伙伴頒獎盛典”在深圳國際會展中心隆重舉行。
        的頭像 發(fā)表于 03-11 09:04 ?466次閱讀
        北斗智聯(lián)榮膺“全球<b class='flag-5'>汽車</b><b class='flag-5'>供應(yīng)鏈</b>生態(tài)伙伴獎”

        佛瑞亞海拉榮獲《中國汽車報》全球汽車供應(yīng)鏈生態(tài)伙伴獎

        佛瑞亞海拉榮獲《中國汽車報》全球汽車供應(yīng)鏈生態(tài)伙伴獎
        的頭像 發(fā)表于 03-08 17:16 ?1528次閱讀
        佛瑞亞海拉榮獲《中國<b class='flag-5'>汽車</b>報》全球<b class='flag-5'>汽車</b><b class='flag-5'>供應(yīng)鏈</b>生態(tài)伙伴獎

        掌控供應(yīng)鏈,決勝市場:SCM供應(yīng)鏈管理系統(tǒng)的戰(zhàn)略意義

        SCM供應(yīng)鏈管理系統(tǒng)是現(xiàn)代企業(yè)管理的重要組成部分,它通過整合和優(yōu)化供應(yīng)鏈的各個環(huán)節(jié),實現(xiàn)企業(yè)資源的高效利用和協(xié)同運作。
        的頭像 發(fā)表于 03-06 10:54 ?453次閱讀