新思科技助推汽车行业构建安全可信的开源合规体系

在传统观念中，汽车相对来说是一个硬件设备。随着联网、自动驾驶、智能驾驶舱的发展，汽车的软件代码最近已经超过1亿行，未来可能会更多。现在是软件吞噬汽车的时代。

汽车行业开源软件的现状与挑战

新思科技每年都会发布开源软件的安全风险报告。我们可以看到，在汽车领域，大约70%的软件是由开源组成的。在这个前提下，新思科技有另外一组数据分享给大家。你可能会担心开源软件的安全风险。

在安全领域，和蓝色部分一样，包含至少一个漏洞的开源代码比例也在逐年增加。这些漏洞被称为已知安全漏洞。这些安全漏洞也会被分级，不同的级别可能会对用户造成严重或中高的风险。我们再来看看橙色的部分。高危漏洞比例不低，超过60%。这是什么意思？如果今天你的软件包含高危漏洞，整个系统很容易被渗透，很容易造成数据泄露，或者系统的主机被远程控制。回顾汽车行业，漏洞的比例不小，有60%以上，希望能引起大家的注意。

中国的“十四五”规划也提到，国家鼓励知识产权和创新。在越来越重视知识产权的前提下，比如“MySQL”其实就是双许可。它有GPL许可和商业许可，有些可能是GPL或Apache或MIT。我们称之为许可证，不同的许可证之间会有冲突。

还有其他风险，包括无牌照或者定制牌照，这一块占比不低，也会对客户造成较大的潜在风险。相当于什么？它的执照是一张白纸，你可以随时在上面写字。尤其是汽车行业，合规风险远大于平均值，超过80%。

由于开源相关的安全漏洞和真实法律案例的不断出现，开源对于汽车网络的安全至关重要。如今，汽车是在全球供应链的合作下产生的，汽车还将涉及出口、GDPR和美国的出口法律，以及汽车软件使用的加密算法。这些都需要我们注意。

开源相关的汽车行业的信誉会越来越重要。

汽车行业是一个非常注重安全和合规的行业，就像各种法律法规或者标准一样。例如，ISO21434涉及到的与开源相关的术语:

第一个条款是RQ-09-05。在进行威胁分析和风险评估时，在这样一个阶段，还应该考虑开源的风险。如果使用开源组件，还应该进行威胁建模或风险分析，因为软件最终是由代码组成的。代码设计是否安全，代码设计是否存在潜在风险，在这个阶段进行主动分享分析也是非常重要的。

第二个条款是RQ-06-16，明确写在集成现成组件扫描开源组件相关漏洞的过程中。这与OWASP Top 2021中的A6，易受攻击和过时的组件有关，这也是明确要求管理的。

第三个条款是RQ-07-01，为新发现的漏洞提供预警工具。作为持续网络安全监控活动的投入，我们知道汽车有召回的概念，其实软件也是一样的。汽车也是软件和硬件的结合。交付和发布后，有必要对其现有软件进行监控。如果发现0-0Day漏洞，主机厂要及时监控，评估风险，同时通知客户。如果需要OTA升级，智商。

以上是给大家分享一些ISO-21434中与开源相关的术语。

2020年12月发布的ISO-5230也是国际标准。是Linux基金会孵化的基于OPENCHAIN的开源项目。这个项目的背景是开源组件合规治理的国际标准。一个标准主要基于三个部分:流程、规范和培训。

汽车i……这个标准背后的ustry也是重要的推手之一，包括日本的一些厂商，很早就在推这样一个东西。所以从目前的趋势来看，这个标准在未来几年内会成为共识。汽车行业也是一个依赖上下游供应链的行业，供应商在向下游交付软件时需要提供软件物料清单(SBOM)。有人可能会问这和开源有什么关系？其实有很大关系。根据我们之前的报告和之前分享的汽车行业的数据，汽车行业70%的代码都是由开源代码组成的，所以要想解决问题，就要抓住主要问题。开源软件的治理是我们需要关注的最重要的事情。

汽车行业开源软件安全可信治理实践

怎么做，或者有没有一些点可以入手？其实还是有的。首先，从公司治理框架来看，刚开始一般企业都是抢着使用开发，使用肯定会涉及开源组件，比如Linux或者glibc，或者其他开源工具。很多企业为了快速迭代和创新，会在开源软件的基础上进行整合和重新开发。

在这种情况下，许多R&D学生自发地使用它们，但他们可能没有意识到合规和安全的风险，并在不经意间引入了一些潜在的风险。这些都需要通过一些技术手段和一些规则来识别开源软件，建立详细的清单，进行系统的治理。

你可能看到现在自动驾驶很火，一些公司，尤其是国外或者国内的，通过构建生态来吸引开发者参与。比如中国百度的Apollo也是开源平台。

进一步，通过构建生态战略，与生态链上的企业互动，开源将成为一个企业的数字化战略。如果有的公司做的非常好，会推动整个公司有一个非常长远或者非常好的发展和未来。

我们发现大部分开源都是自下而上推广的。从我们接触的汽车行业来看，大部分还处于技术运用和安全可信阶段。我们来看看有哪些具体的行动事项。

一个是团队。从开源参与的角度来说，它涉及的范围很广，包括法律事务、一些合规性和专利问题，都需要法律的参与。另一个也会涉及到技术的选择，架构师也需要参与，考虑开源组件的技术架构，学习成本，使用成本。此外，安全同事也会参与，比如整理开源组件的安全漏洞，其安全漏洞分布，

第二是可信度。为什么要加入我们刚刚介绍的OPENCHAIN社区？就是和社群中的参与者或者整个社群建立一个非常可信的合作生态。还有供应链、合规等例子，推动整个企业级安全治理合规框架的发展。

再往前，如果讨论规则或者流程或者技术，这个就更多了。从流程、漏洞或许可证的角度来看，整个开源合规培训贯穿整个系统能力建设过程。

人工审核的重要性，当工具识别出问题后，需要专业的专家同事介入，再做上门审核的流程。比如在发布的时候，很多开源的漏洞都是由配置软件组成的，在这些项目中也需要检查。做渗透测试的时候，需要注意开源漏洞相关的风险。

最后，即使软件随车交付，我仍然需要有一个开源软件列表。我们讲的是持续交付，持续建设。如果出现问题，我可以第一时间知道这个漏洞影响了我哪个版本，这个版本影响了哪些机型，这样我们就可以快速的进行追溯和管理。

如果对应ISO -21434，其实是有据可循的。从左至右，威胁建模和风险分析在早期阶段进行……e、中间阶段进行系统的识别和开源风险，最后，甚至在软件发布后，也要持续监控开源漏洞，这与ISO-21434密切相关。

网络安全开源相关风险的联系点ISO-21434。

第一次接触点，很多公司说要发布我的产品。他可能想到的第一步是为开源组件生成一个分发说明列表。那么如何制定一个可持续的计划呢？他考虑我在软件集成测试的时候是否可以扫描识别。我在这个阶段发现问题的时候，发现预留整改不够。一般我在认定了之后，都要进行整改和修正。在此基础上，可以考虑在编码时识别开源组件，这些组件都是在编码和测试时进行管理的。有没有可能早一点实施呢？比如在需求分析和设计阶段，其实开源软件是非常丰富多样的。比如开源数据库就有很多选择。然后，在需求和设计中，架构师需要根据产品和业务的特点选择合适的开源组件。同事们还需要考虑未来潜在开源组件的安全合规风险，并指定应对策略。

在ISO-21434安全的概念阶段，开源安全合规培训是融入整个研发过程的，是一个持续的事情。为开发同事、项目经理和管理层准备了不同的培训课程和目标。同时可以考虑相关案例，讨论为什么会触发这样的风险，违反了哪些规范，了解相关人员如何避免违反相关法律法规。安全漏洞分为两部分。一个是代码层面的，一个是逻辑层面的，但是这种逻辑层面的东西扫码可能发现不了，危害建模和风险分析也很重要。

最后，比如做开源组件需求管理的时候，代码的来源是非常多样的，包括供应商和外部社区。在这个前提下，我们需要做一个统一的规划，要求我的供应商给我各种信息，或者我对我的供应商有什么要求，比如交付的软件不能使用包含高危漏洞的组件或者包含GPL的组件。

还有两个贯穿整个流程体系建设，合规培训和安全合规文化建设。在我的整个R&D流程开发系统中始终贯彻执行。

新思黑鸭是开源合规的解决方案，新思科技是一站式自动化解决方案。这个方案已经被国内很多高科技公司、ICT公司甚至银行采用。它的许多特点是自动化，同时，它处理许多场景。开源合规系统中嵌入了许多最佳实践功能，并且有许多联系点。企业还有一个特点，比如高可用性，需要一些专业的专家服务。通过新思科技提供的一系列解决方案和产品，让客户更好地实现开源合规的目标。通过更好地利用开源，可以帮助企业推动创新，保驾护航。在传统观念中，汽车相对来说是一个硬件设备。随着联网、自动驾驶、智能驾驶舱的发展，汽车的软件代码最近已经超过1亿行，未来可能会更多。现在是软件吞噬汽车的时代。

汽车行业开源软件的现状与挑战

新思科技每年都会发布开源软件的安全风险报告。我们可以看到，在汽车领域，大约70%的软件是由开源组成的。在这个前提下，新思科技有另外一组数据分享给大家。你可能会担心开源软件的安全风险。

在安全领域，和蓝色部分一样，包含至少一个漏洞的开源代码比例也在逐年增加。这些漏洞被称为已知安全漏洞。这些安全漏洞也会被分级，不同的级别可能会对用户造成严重或中高的风险。让我们……再看橙色部分。高危漏洞比例不低，超过60%。这是什么意思？如果今天你的软件包含高危漏洞，整个系统很容易被渗透，很容易造成数据泄露，或者系统的主机被远程控制。回顾汽车行业，漏洞的比例不小，有60%以上，希望能引起大家的注意。

中国的“十四五”规划也提到，国家鼓励知识产权和创新。在越来越重视知识产权的前提下，比如“MySQL”其实就是双许可。它有GPL许可和商业许可，有些可能是GPL或Apache或MIT。我们称之为许可证，不同的许可证之间会有冲突。

还有其他风险，包括无牌照或者定制牌照，这一块占比不低，也会对客户造成较大的潜在风险。相当于什么？它的执照是一张白纸，你可以随时在上面写字。尤其是汽车行业，合规风险远大于平均值，超过80%。

由于开源相关的安全漏洞和真实法律案例的不断出现，开源对于汽车网络的安全至关重要。如今，汽车是在全球供应链的合作下产生的，汽车还将涉及出口、GDPR和美国的出口法律，以及汽车软件使用的加密算法。这些都需要我们注意。

开源相关的汽车行业的信誉会越来越重要。

汽车行业是一个非常注重安全和合规的行业，就像各种法律法规或者标准一样。例如，ISO21434涉及到的与开源相关的术语:

第一个条款是RQ-09-05。在进行威胁分析和风险评估时，在这样一个阶段，还应该考虑开源的风险。如果使用开源组件，还应该进行威胁建模或风险分析，因为软件最终是由代码组成的。代码设计是否安全，代码设计是否存在潜在风险，在这个阶段进行主动分享分析也是非常重要的。

第二个条款是RQ-06-16，明确写在集成现成组件扫描开源组件相关漏洞的过程中。这与OWASP Top 2021中的A6，易受攻击和过时的组件有关，这也是明确要求管理的。

第三个条款是RQ-07-01，为新发现的漏洞提供预警工具。作为持续网络安全监控活动的投入，我们知道汽车有召回的概念，其实软件也是一样的。汽车也是软件和硬件的结合。交付和发布后，有必要对其现有软件进行监控。如果发现0-0Day漏洞，主机厂要及时监控，评估风险，同时通知客户。如果需要OTA升级，智商。

以上是给大家分享一些ISO-21434中与开源相关的术语。

2020年12月发布的ISO-5230也是国际标准。是Linux基金会孵化的基于OPENCHAIN的开源项目。这个项目的背景是开源组件合规治理的国际标准。一个标准主要基于三个部分:流程、规范和培训。

这个标准背后的汽车行业也是重要的推手之一，包括日本的一些厂商，他们推动这样一个东西已经很久了。所以从目前的趋势来看，这个标准在未来几年内会成为共识。汽车行业也是一个依赖上下游供应链的行业，供应商在向下游交付软件时需要提供软件物料清单(SBOM)。有人可能会问这和开源有什么关系？其实有很大关系。根据我们之前的报告和之前分享的汽车行业的数据，汽车行业70%的代码都是由开源代码组成的，所以要想解决问题，就要抓住主要问题。开源软件的治理是我们需要关注的最重要的事情。

汽车行业开源软件安全可信治理实践

怎么做，或者有没有一些点可以入手？事实上，有圣……我知道一些。首先，从公司治理框架来看，刚开始一般企业都是抢着使用开发，使用肯定会涉及开源组件，比如Linux或者glibc，或者其他开源工具。很多企业为了快速迭代和创新，会在开源软件的基础上进行整合和重新开发。

在这种情况下，许多R&D学生自发地使用它们，但他们可能没有意识到合规和安全的风险，并在不经意间引入了一些潜在的风险。这些都需要通过一些技术手段和一些规则来识别开源软件，建立详细的清单，进行系统的治理。

你可能看到现在自动驾驶很火，一些公司，尤其是国外或者国内的，通过构建生态来吸引开发者参与。比如中国百度的Apollo也是开源平台。

进一步，通过构建生态战略，与生态链上的企业互动，开源将成为一个企业的数字化战略。如果有的公司做的非常好，会推动整个公司有一个非常长远或者非常好的发展和未来。

我们发现大部分开源都是自下而上推广的。从我们接触的汽车行业来看，大部分还处于技术运用和安全可信阶段。我们来看看有哪些具体的行动事项。

一个是团队。从开源参与的角度来说，它涉及的范围很广，包括法律事务、一些合规性和专利问题，都需要法律的参与。另一个也会涉及到技术的选择，架构师也需要参与，考虑开源组件的技术架构，学习成本，使用成本。此外，安全同事也会参与，比如整理开源组件的安全漏洞，其安全漏洞分布，

第二是可信度。为什么要加入我们刚刚介绍的OPENCHAIN社区？就是和社群中的参与者或者整个社群建立一个非常可信的合作生态。还有供应链、合规等例子，推动整个企业级安全治理合规框架的发展。

再往前，如果讨论规则或者流程或者技术，这个就更多了。从流程、漏洞或者许可证的角度来看，整个开源合规培训贯穿整个系统能力建设过程。

人工审核的重要性，当工具识别出问题后，需要专业的专家同事介入，再做上门审核的流程。比如在发布的时候，很多开源的漏洞都是由配置软件组成的，在这些项目中也需要检查。做渗透测试的时候，需要注意开源漏洞相关的风险。

最后，即使软件随车交付，我仍然需要有一个开源软件列表。我们讲的是持续交付，持续建设。如果出现问题，我可以第一时间知道这个漏洞影响了我哪个版本，这个版本影响了哪些机型，这样我们就可以快速的进行追溯和管理。

如果对应ISO -21434，其实是有据可循的。从左到右，前期进行威胁建模和风险分析，中期进行系统的识别和开源风险，最后，即使在软件发布后，也要持续监控开源漏洞，这与ISO-21434密切相关。

网络安全开源相关风险的联系点ISO-21434。

第一次接触点，很多公司说要发布我的产品。他可能想到的第一步是为开源组件生成一个分发说明列表。那么如何制定一个可持续的计划呢？他考虑我在软件集成测试的时候是否可以扫描识别。我在这个阶段发现问题的时候，发现预留整改不够。一般我在认定了之后，都要进行整改和修正。在此基础上，可以考虑在编码时识别开源组件，这些组件都是在编码和测试时进行管理的。有没有可能早一点实施呢？比如在需求分析和设计阶段，其实开源软件是非常丰富多样的。例如，开源数据有很多选择……是的。然后，在需求和设计中，架构师需要根据产品和业务的特点选择合适的开源组件。同事们还需要考虑未来潜在开源组件的安全合规风险，并指定应对策略。

在ISO-21434安全的概念阶段，开源安全合规培训是融入整个研发过程的，是一个持续的事情。为开发同事、项目经理和管理层准备了不同的培训课程和目标。同时可以考虑相关案例，讨论为什么会触发这样的风险，违反了哪些规范，了解相关人员如何避免违反相关法律法规。安全漏洞分为两部分。一个是代码层面的，一个是逻辑层面的，但是这种逻辑层面的东西扫码可能发现不了，危害建模和风险分析也很重要。

最后，比如做开源组件需求管理的时候，代码的来源是非常多样的，包括供应商和外部社区。在这个前提下，我们需要做一个统一的规划，要求我的供应商给我各种信息，或者我对我的供应商有什么要求，比如交付的软件不能使用包含高危漏洞的组件或者包含GPL的组件。

还有两个贯穿整个流程体系建设，合规培训和安全合规文化建设。在我的整个R&D流程开发系统中始终贯彻执行。

新思黑鸭是开源合规的解决方案，新思科技是一站式自动化解决方案。这个方案已经被国内很多高科技公司、ICT公司甚至银行采用。它的许多特点是自动化，同时，它处理许多场景。开源合规系统中嵌入了许多最佳实践功能，并且有许多联系点。企业还有一个特点，比如高可用性，需要一些专业的专家服务。通过新思科技提供的一系列解决方案和产品，让客户更好地实现开源合规的目标。通过更好地利用开源，可以帮助企业推动创新，保驾护航。

标签：发现远程

汽车资讯热门资讯