搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      汽車軟件供應(yīng)鏈中的開源風(fēng)險

      星星科技指導(dǎo)員 ? 來源:embedded ? 作者:Walter Capitani ? 2023-05-05 09:35 ? 次閱讀

      汽車中使用的大多數(shù)軟件組件都不是由汽車制造商自己甚至頂級供應(yīng)商直接開發(fā)的。軟件來自廣泛的供應(yīng)商,包括嵌入式 GUI 框架、中間件、操作系統(tǒng)、導(dǎo)航和電信軟件組件等。

      這些源軟件組件可以是儀表板信息娛樂系統(tǒng)或嵌入式系統(tǒng)(例如整個車輛使用的傳感器)的一部分。這種日益增加的復(fù)雜性和互操作性導(dǎo)致了供應(yīng)商之間的軟件協(xié)作,從而形成了一個同行的合作伙伴網(wǎng)絡(luò)(例如,福特和谷歌,通用汽車和Lyft)。

      由于汽車軟件組件是由許多不同的供應(yīng)商創(chuàng)建的,因此其中很大一部分包含開源。就像現(xiàn)在的任何軟件一樣,開源是生活中的事實。事實上,Android是汽車主機的流行平臺,它建立在Linux之上。其他例子是Genivi Alliance和Automotive Grade Linux,這是專門用于汽車應(yīng)用的開源平臺。

      據(jù)估計,2018年開源在汽車軟件堆棧中的比例約為50-70%。2021 年 66 月的另一次演講將這一數(shù)字定為約 <>%,無論開源是否直接或間接用于其他專有第三方組件。

      不“重新發(fā)明輪子”的生產(chǎn)力優(yōu)勢是顯而易見的。免費和開源軟件通常質(zhì)量很好,并提供顯著的好處,尤其是在用于整個子系統(tǒng)時。但是,安全性和質(zhì)量因軟件來源而異。在大多數(shù)情況下,您不確定重復(fù)使用的組件是否安全且高質(zhì)量,因此必須采取措施來減輕這種風(fēng)險。

      開源組件的不安全版本是汽車軟件中常見的安全漏洞。在某些情況下,漏洞已被識別和修補,但車輛中使用的組件尚未更新。

      開源組件或包含漏洞的組件缺乏更新也是汽車制造商面臨的挑戰(zhàn)。盡管在汽車中修補軟件可能很困難,但確保軟件供應(yīng)鏈也跟上要求成為一項復(fù)雜的任務(wù)。有時更新不會到來,因為作者甚至可能不知道開源。

      開源組件中隱藏的依賴關(guān)系是另一個關(guān)鍵的安全問題。開源依賴于其他依賴項來運行是很常見的。依賴關(guān)系增加了安全風(fēng)險的范圍。其中一些依賴項沒有記錄在案,或者如果在專有軟件中使用,則完全隱藏。

      最后,許可是汽車軟件的潛在雷區(qū)。開源不一定可以在商業(yè)產(chǎn)品中免費使用,或者如果是,產(chǎn)品中的重新分發(fā)可能需要滿足法律要求。包含第三方軟件的設(shè)備正在重新分發(fā)其中使用的任何源代碼或二進制文件,這是開源的獨特用例。未正確管理所使用的所有第三方源和二進制文件的許可證存在重大法律風(fēng)險。

      管理開源軟件的風(fēng)險

      正如物料清單 (BOM) 有助于管理汽車生產(chǎn)中的實物庫存一樣,管理采購軟件的質(zhì)量和安全性需要從軟件 BOM – SBOM 開始。

      SBOM 如何幫助管理風(fēng)險?

      實施軟件供應(yīng)鏈風(fēng)險管理計劃和使用 SBOM 對于改善最終產(chǎn)品的安全狀況至關(guān)重要。對于汽車軟件開發(fā),此實踐有助于滿足行業(yè)安全性和合規(guī)性要求

      SBOM 管理為制造商提供以下好處:

      發(fā)現(xiàn):識別第三方代碼和 COTS/第三方軟件中的開源組件。檢測這些組件中的已知(N 天)和未知(零天)漏洞。這包括隱藏在第二層和第三層軟件提供商的二進制文件中的開源組件。

      管理風(fēng)險:根據(jù)對代碼/軟件的可見性做出更明智的安全決策。遵守安全、許可和供應(yīng)商風(fēng)險合規(guī)性要求。

      修正:利用可操作的漏洞情報防范網(wǎng)絡(luò)安全威脅。簡化漏洞修復(fù)以降低軟件風(fēng)險。

      自動化軟件供應(yīng)鏈安全的目標是深入了解為支持項目目標而購買和部署的產(chǎn)品。需要SBOM和詳細的漏洞信息來真正了解車輛中使用的現(xiàn)有軟件的安全風(fēng)險。

      借助無需訪問源代碼即可分析二進制應(yīng)用程序的新技術(shù),產(chǎn)品安全團隊現(xiàn)在可以生成自己的詳細 SBOM 以及高級儀表板,以幫助分析和總結(jié)結(jié)果。此外,軟件漏洞報告對于對 SBOM 中概述的軟件組件中的已知漏洞進行編目至關(guān)重要。

      尋找能夠生成人工和機器可讀輸出的 SBOM 工具,這些輸出可以導(dǎo)出并與其他組織共享,并與安全和風(fēng)險解決方案集成。人類可讀的格式應(yīng)提供組件和報告的漏洞的輕松導(dǎo)航。

      汽車行業(yè)在車輛中使用的物理部件的質(zhì)量、可靠性和安全性方面始終需要保持高度警惕。隨著越來越多的軟件被集成到他們的成品中,制造商不再“相信”他們產(chǎn)品中的嵌入式代碼沒有安全漏洞和缺陷。軟件供應(yīng)鏈風(fēng)險管理必須是車輛質(zhì)量控制的關(guān)鍵支柱。

      審核編輯:郭婷

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 嵌入式
        +關(guān)注

        關(guān)注

        5089

        文章

        19169

        瀏覽量

        306739
      • 汽車電子
        +關(guān)注

        關(guān)注

        3028

        文章

        8004

        瀏覽量

        167529
      • 操作系統(tǒng)
        +關(guān)注

        關(guān)注

        37

        文章

        6874

        瀏覽量

        123563
      收藏 人收藏

        評論

        相關(guān)推薦

        基于實物期權(quán)的供應(yīng)鏈能力柔性決策研究

        基于實物期權(quán)的供應(yīng)鏈能力柔性決策研究應(yīng)用實物期權(quán)方法研究完全競爭市場環(huán)境下的供應(yīng)鏈管理的能力決策問題。通過對能力投資決策的價值分析,給出柔性條件下的能力決策規(guī)則,并研究了市場演進的性質(zhì)、投資成本
        發(fā)表于 06-14 00:22

          基于電子商務(wù)的供應(yīng)鏈金融研究

        迅速作出反應(yīng)。  2 供應(yīng)鏈融資  與傳統(tǒng)的貸款業(yè)務(wù)相比,供應(yīng)鏈融資與其還是有區(qū)別的,所謂供應(yīng)鏈融資是通過對物流貨權(quán)動態(tài)的監(jiān)管以及企業(yè)專用的托管賬號來控制銀行貸款
        發(fā)表于 10-25 15:57

        手機供應(yīng)鏈管理

        供應(yīng)鏈的概念是從擴大的生產(chǎn)(Extended Production)概念發(fā)展而來,現(xiàn)代管理教育對供應(yīng)鏈的定義為“供應(yīng)鏈是圍繞核心企業(yè),通過對商流,信息流,物流,資金流的控制,從采購原材料開始,制成
        發(fā)表于 11-24 22:06

        利潤在下降,風(fēng)險在上升,談現(xiàn)時的分銷商供應(yīng)鏈風(fēng)險管理

        主要有以下三種:1)進行風(fēng)險轉(zhuǎn)移:通過部分非核心業(yè)務(wù)外包的方式將風(fēng)險轉(zhuǎn)移至其他企業(yè),也可以通過和專業(yè)風(fēng)險管理公司合作,及時充分地了解供應(yīng)鏈的信息。在
        發(fā)表于 07-10 14:43

        區(qū)塊將改革供應(yīng)鏈

        ) 對于合作伙伴:更好更快的提供融資服務(wù),針對供應(yīng)鏈參與方情況提供定制化服務(wù)。所有監(jiān)管數(shù)據(jù)都會反映到上。 區(qū)塊 + 供應(yīng)鏈上的主要應(yīng)用
        發(fā)表于 08-08 11:11

        區(qū)塊軟件開發(fā)公司談區(qū)塊供應(yīng)鏈金融場景的應(yīng)用

        量化,從而進入企業(yè)。ISE將在減少金融風(fēng)險方面發(fā)揮巨大的優(yōu)勢?! ∽詈?,隨著跨境貿(mào)易、供應(yīng)鏈管理、城市治理、金融交易等應(yīng)用的普及,區(qū)塊的價值實現(xiàn)邏輯也會隨著環(huán)境的變化而變化。因此,未來區(qū)塊
        發(fā)表于 11-21 10:54

        如何使用RFID建立綠色供應(yīng)鏈系統(tǒng)

        實時追蹤改善可回收運輸容器的利用管理人員通常會通過提高供應(yīng)鏈系統(tǒng)的效率來降低供應(yīng)鏈損耗,如流水化操作,改善系統(tǒng)可見性,增加各部分的溝通,和減少手工收集數(shù)據(jù)過程等。但是,在供應(yīng)鏈系統(tǒng)
        發(fā)表于 05-29 06:02

        RFID技術(shù)對供應(yīng)鏈管理有什么影響

        供應(yīng)鏈管理作為一種先進的管理思想。通過在供應(yīng)鏈各節(jié)點間的信息共享,協(xié)同運作。來實現(xiàn)供應(yīng)鏈整體效率最高的目標一要實現(xiàn)高度的協(xié)同運作就必須要求參與者自愿的共享信息和共同規(guī)劃策略、 所以必須提供一種
        發(fā)表于 07-29 08:08

        雷達技術(shù)對整個汽車電子供應(yīng)鏈有哪些要求

        2016年德國就在該領(lǐng)域投資了524億歐元,且呈上升趨勢。各項投資的重點是自動駕駛。該領(lǐng)域的新發(fā)展意味著持續(xù)的工藝改進,涉及到的不僅有汽車制造商。整個汽車電子供應(yīng)鏈必須適應(yīng)新的挑戰(zhàn)。
        發(fā)表于 08-17 07:51

        RFID技術(shù)在管理供應(yīng)鏈風(fēng)險的應(yīng)用

        考慮到所有這些有關(guān)的不同變量,管理一個產(chǎn)品組合的供應(yīng)鏈風(fēng)險是一項非常復(fù)雜的任務(wù)。然而,有一些基本的方法來管理這些平衡點,并減輕供應(yīng)鏈風(fēng)險
        發(fā)表于 09-28 13:58 ?735次閱讀

        開源軟件供應(yīng)鏈面臨的風(fēng)險及挑戰(zhàn)

        ,中國科學(xué)院軟件研究所所長趙琛發(fā)表主題演講,從開源軟件的源頭出發(fā),對比了國內(nèi)外開源軟件發(fā)展現(xiàn)狀,闡述了
        的頭像 發(fā)表于 01-13 14:15 ?3083次閱讀

        汽車軟件供應(yīng)鏈開源風(fēng)險

          汽車中使用的大多數(shù)軟件組件都不是由汽車制造商自己甚至頂級供應(yīng)商直接開發(fā)的。軟件來自廣泛的供應(yīng)
        的頭像 發(fā)表于 10-25 10:53 ?714次閱讀

        開源軟件供應(yīng)鏈攻擊回顧

        通常,軟件供應(yīng)鏈攻擊旨在將惡意代碼注入到軟件產(chǎn)品。攻擊者經(jīng)常篡改給定供應(yīng)商的最終產(chǎn)品,以使其帶有有效的數(shù)字簽名,因為該數(shù)字簽名是由相應(yīng)的
        的頭像 發(fā)表于 02-28 09:59 ?852次閱讀

        軟件供應(yīng)鏈安全白皮書(2021)》免費下載

        前言INTRODUCTION隨著容器、微服務(wù)等新技術(shù)日新月異,開源軟件成為業(yè)界主流形態(tài),軟件行業(yè)快速發(fā)展。但同時,軟件供應(yīng)鏈也越來越趨于復(fù)雜
        的頭像 發(fā)表于 03-03 09:40 ?746次閱讀
        《<b class='flag-5'>軟件</b><b class='flag-5'>供應(yīng)鏈</b>安全白皮書(2021)》免費下載

        全球芯片供應(yīng)鏈風(fēng)險全解讀.zip

        全球芯片供應(yīng)鏈風(fēng)險全解讀
        發(fā)表于 01-13 09:06 ?8次下載