0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

汽车软件供应链中的开源风险

星星科技指导员 来源:embedded 作者:Walter Capitani 2023-05-05 09:35 次阅读

汽车中使用的大多数软件组件都不是由汽车制造商自己甚至顶级供应商直接开发的。软件来自广泛的供应商,包括嵌入式 GUI 框架、中间件、操作系统、导航和电信软件组件等。

这些源软件组件可以是仪表板信息娱乐系统或嵌入式系统(例如整个车辆使用的传感器)的一部分。这种日益增加的复杂性和互操作性导致了供应商之间的软件协作,从而形成了一个同行的合作伙伴网络(例如,福特和谷歌,通用汽车和Lyft)。

由于汽车软件组件是由许多不同的供应商创建的,因此其中很大一部分包含开源。就像现在的任何软件一样,开源是生活中的事实。事实上,Android是汽车主机的流行平台,它建立在Linux之上。其他例子是Genivi Alliance和Automotive Grade Linux,这是专门用于汽车应用的开源平台。

据估计,2018年开源在汽车软件堆栈中的比例约为50-70%。2021 年 66 月的另一次演讲将这一数字定为约 <>%,无论开源是否直接或间接用于其他专有第三方组件。

不“重新发明轮子”的生产力优势是显而易见的。免费和开源软件通常质量很好,并提供显着的好处,尤其是在用于整个子系统时。但是,安全性和质量因软件来源而异。在大多数情况下,您不确定重复使用的组件是否安全且高质量,因此必须采取措施来减轻这种风险。

开源组件的不安全版本是汽车软件中常见的安全漏洞。在某些情况下,漏洞已被识别和修补,但车辆中使用的组件尚未更新。

开源组件或包含漏洞的组件缺乏更新也是汽车制造商面临的挑战。尽管在汽车中修补软件可能很困难,但确保软件供应链也跟上要求成为一项复杂的任务。有时更新不会到来,因为作者甚至可能不知道开源。

开源组件中隐藏的依赖关系是另一个关键的安全问题。开源依赖于其他依赖项来运行是很常见的。依赖关系增加了安全风险的范围。其中一些依赖项没有记录在案,或者如果在专有软件中使用,则完全隐藏。

最后,许可是汽车软件的潜在雷区。开源不一定可以在商业产品中免费使用,或者如果是,产品中的重新分发可能需要满足法律要求。包含第三方软件的设备正在重新分发其中使用的任何源代码或二进制文件,这是开源的独特用例。未正确管理所使用的所有第三方源和二进制文件的许可证存在重大法律风险。

管理开源软件的风险

正如物料清单 (BOM) 有助于管理汽车生产中的实物库存一样,管理采购软件的质量和安全性需要从软件 BOM – SBOM 开始。

SBOM 如何帮助管理风险?

实施软件供应链风险管理计划和使用 SBOM 对于改善最终产品的安全状况至关重要。对于汽车软件开发,此实践有助于满足行业安全性和合规性要求

SBOM 管理为制造商提供以下好处:

发现:识别第三方代码和 COTS/第三方软件中的开源组件。检测这些组件中的已知(N 天)和未知(零天)漏洞。这包括隐藏在第二层和第三层软件提供商的二进制文件中的开源组件。

管理风险:根据对代码/软件的可见性做出更明智的安全决策。遵守安全、许可和供应商风险合规性要求。

修正:利用可操作的漏洞情报防范网络安全威胁。简化漏洞修复以降低软件风险。

自动化软件供应链安全的目标是深入了解为支持项目目标而购买和部署的产品。需要SBOM和详细的漏洞信息来真正了解车辆中使用的现有软件的安全风险。

借助无需访问源代码即可分析二进制应用程序的新技术,产品安全团队现在可以生成自己的详细 SBOM 以及高级仪表板,以帮助分析和总结结果。此外,软件漏洞报告对于对 SBOM 中概述的软件组件中的已知漏洞进行编目至关重要。

寻找能够生成人工和机器可读输出的 SBOM 工具,这些输出可以导出并与其他组织共享,并与安全和风险解决方案集成。人类可读的格式应提供组件和报告的漏洞的轻松导航。

汽车行业在车辆中使用的物理部件的质量、可靠性和安全性方面始终需要保持高度警惕。随着越来越多的软件被集成到他们的成品中,制造商不再“相信”他们产品中的嵌入式代码没有安全漏洞和缺陷。软件供应链风险管理必须是车辆质量控制的关键支柱。

审核编辑:郭婷

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 嵌入式
    +关注

    关注

    5072

    文章

    19029

    浏览量

    303537
  • 汽车电子
    +关注

    关注

    3024

    文章

    7883

    浏览量

    166554
  • 操作系统
    +关注

    关注

    37

    文章

    6747

    浏览量

    123204
收藏 人收藏

    评论

    相关推荐

    基于实物期权的供应链能力柔性决策研究

    基于实物期权的供应链能力柔性决策研究应用实物期权方法研究完全竞争市场环境下的供应链管理的能力决策问题。通过对能力投资决策的价值分析,给出柔性条件下的能力决策规则,并研究了市场演进的性质、投资成本
    发表于 06-14 00:22

      基于电子商务的供应链金融研究

    迅速作出反应。  2 供应链融资  与传统的贷款业务相比,供应链融资与其还是有区别的,所谓供应链融资是通过对物流货权动态的监管以及企业专用的托管账号来控制银行贷款
    发表于 10-25 15:57

    手机供应链管理

    供应链的概念是从扩大的生产(Extended Production)概念发展而来,现代管理教育对供应链的定义为“供应链是围绕核心企业,通过对商流,信息流,物流,资金流的控制,从采购原材料开始,制成
    发表于 11-24 22:06

    利润在下降,风险在上升,谈现时的分销商供应链风险管理

    主要有以下三种:1)进行风险转移:通过部分非核心业务外包的方式将风险转移至其他企业,也可以通过和专业风险管理公司合作,及时充分地了解供应链的信息。在
    发表于 07-10 14:43

    区块将改革供应链

    ) 对于合作伙伴:更好更快的提供融资服务,针对供应链参与方情况提供定制化服务。所有监管数据都会反映到上。 区块 + 供应链上的主要应用
    发表于 08-08 11:11

    区块软件开发公司谈区块供应链金融场景的应用

    量化,从而进入企业。ISE将在减少金融风险方面发挥巨大的优势。  最后,随着跨境贸易、供应链管理、城市治理、金融交易等应用的普及,区块的价值实现逻辑也会随着环境的变化而变化。因此,未来区块
    发表于 11-21 10:54

    如何使用RFID建立绿色供应链系统

    实时追踪改善可回收运输容器的利用管理人员通常会通过提高供应链系统的效率来降低供应链损耗,如流水化操作,改善系统可见性,增加各部分的沟通,和减少手工收集数据过程等。但是,在供应链系统
    发表于 05-29 06:02

    RFID技术对供应链管理有什么影响

    供应链管理作为一种先进的管理思想。通过在供应链各节点间的信息共享,协同运作。来实现供应链整体效率最高的目标一要实现高度的协同运作就必须要求参与者自愿的共享信息和共同规划策略、 所以必须提供一种
    发表于 07-29 08:08

    雷达技术对整个汽车电子供应链有哪些要求

    2016年德国就在该领域投资了524亿欧元,且呈上升趋势。各项投资的重点是自动驾驶。该领域的新发展意味着持续的工艺改进,涉及到的不仅有汽车制造商。整个汽车电子供应链必须适应新的挑战。
    发表于 08-17 07:51

    RFID技术在管理供应链风险的应用

    考虑到所有这些有关的不同变量,管理一个产品组合的供应链风险是一项非常复杂的任务。然而,有一些基本的方法来管理这些平衡点,并减轻供应链风险
    发表于 09-28 13:58 719次阅读

    开源软件供应链面临的风险及挑战

    ,中国科学院软件研究所所长赵琛发表主题演讲,从开源软件的源头出发,对比了国内外开源软件发展现状,阐述了
    的头像 发表于 01-13 14:15 3030次阅读

    汽车软件供应链开源风险

      汽车中使用的大多数软件组件都不是由汽车制造商自己甚至顶级供应商直接开发的。软件来自广泛的供应
    的头像 发表于 10-25 10:53 690次阅读

    开源软件供应链攻击回顾

    通常,软件供应链攻击旨在将恶意代码注入到软件产品。攻击者经常篡改给定供应商的最终产品,以使其带有有效的数字签名,因为该数字签名是由相应的
    的头像 发表于 02-28 09:59 780次阅读

    软件供应链安全白皮书(2021)》免费下载

    前言INTRODUCTION随着容器、微服务等新技术日新月异,开源软件成为业界主流形态,软件行业快速发展。但同时,软件供应链也越来越趋于复杂
    的头像 发表于 03-03 09:40 708次阅读
    《<b class='flag-5'>软件</b><b class='flag-5'>供应链</b>安全白皮书(2021)》免费下载

    全球芯片供应链风险全解读.zip

    全球芯片供应链风险全解读
    发表于 01-13 09:06 8次下载