2015年销售的新车中近三分之一是联网汽车,到2020年,数据会超过四分之三。
根据Prime Research的调查显示,现在高端汽车所拥有的软件代码已超过1亿行,甚至超过了Facebook的后端代码。
前两周在美国拜访了不少半导体厂商,他们有一个明显的关注点就是联网汽车,自主驾驶汽车等,这些相互关联的电子系统能提高车辆的安全性和可靠性,但也创造新的、多种多样潜在的网络安全风险。
这样的趋势下,对联网汽车软件安全的需求大大增加。
上周在Synopsys公司的总部,公司软件完整性集团行销副总裁David Chartier和EDN记者分享了公司用于汽车软件安全的技术。该公司的Coverity和Test Advisor刚刚获得ISO 26262和IEC 61508 认证,可用于开发对安全要求高的汽车软件。
在“组装”代码的时代,用于汽车软件安全的技术
随着越来越多的连接和接口,汽车前所未有的不断的暴露在第三方软件前。
“汽车行业遇到的软件安全问题现在和其他行业的一样,代码越来越多,速度越来越快。”Chartier指出,“一辆车可能需要5年时间才能从开发走向量产,但软件领域发展速度要快很多,汽车厂商需要迅速的将安全考虑进去。”
“另外还有一个趋势,汽车厂商会用到很多第三方软件,有50-90%的软件都是来源于第三方、甚至开源软件,代码更多是被“组装”的,而非被“开发”出来的。”Chartier,“那怎么判断这些软件是安全的?高质量的?”
针对这个趋势,Synopsys的Software Composition Analysis可以用来在第三方软件识别已知的漏洞;Static Analysis用来检测质量缺陷、安全漏洞和兼容问题;Fuzz Testing用来发现未知的漏洞;标准化的方法和架构用来进行安全风险评估。
除了现有的标准,SAE在开发针对联网汽车安全的网络安全测试标准。“去年夏天,一些主流汽车厂商(包括美国的、欧洲的、亚洲的)来找我们合作,希望为汽车行业软件 建立一些测试标准,”Chartier指出,Synopsys助力成立SAE网络安全保证测试工作小组,积极参与到业界的标准中,现在该小组的参与者包括主流汽车制造商、包括Tier 1供应商、政府和安全专家。
“我们也希望看到更多中国本土厂商加入该小组。”Chartier指出。
