上海磐起信息科技有限公司為智能網(wǎng)聯(lián)汽車提供從車內(nèi)到車外一站式的V2X信息安全解決方案AutoTrust和信息安全風(fēng)險評估咨詢服務(wù)CSRA����。其中�,AutoTrust基于智能網(wǎng)聯(lián)車內(nèi)、外通信過程�,為OEM和Tier 1提供整套通信安全解決方案以確保車輛安全,其相關(guān)服務(wù)包括身份驗證系統(tǒng)����、防火墻以及加密密鑰生成和管理等各模塊。
上海磐起信息科技有限公司總經(jīng)理金濤圍繞《汽車信息安全漏洞掃描及模糊測試工具介紹》展開演講��,圍繞行業(yè)背景���、AutoTrust Security Analyzer、有關(guān)“上海磐起”三方面進行介紹����。以下是演講內(nèi)容整理:
上海磐起信息科技有限公司總經(jīng)理金濤
今天我給大家分享的干貨就是聚焦一個點:測試,尤其是測試中的基于開源軟件的漏洞掃描。首先是背景介紹:為什么要做測試�����。第二是關(guān)于漏洞掃描���,漏掃工具名字叫AutoTrust Security Analyzer(以下簡稱SA工具)�,測試工具叫AutoTrust Security Fuzzer�����,AutoTrust是我們公司的產(chǎn)品系列�����,因為我們也有自己的安全解決方案���。最后我也會簡單介紹一下我們的公司背景����。
開源代碼風(fēng)險管理的必要性
首先是關(guān)于測試的背景�����,大家都對ISO/SAE 21434很熟悉,里面提到了功能測試�,單元測試,漏洞掃描����,包括靜態(tài)分析、動態(tài)分析��、開源軟件的漏掃�,最后是滲透測試。我今天要講的是ISO/SAE 21434第十章中網(wǎng)絡(luò)安全設(shè)計的集成和驗證(Integration Verification)���,和第十一章網(wǎng)絡(luò)安全確認(rèn)(Cybersecurity Validation)�����。
目前來看��,開源安全軟件其實有兩個問題���,首先是已知漏洞的掃描問題,第二是開源軟件的授權(quán)問題�。比如國外有一些開源聯(lián)盟���,要求如果使用聯(lián)盟提供的開源軟件�����,那么做二次開發(fā)也要給別人公布并報備���,這可能涉及到知識產(chǎn)權(quán)糾紛����,這個在電子行業(yè)很普及�����,汽車行業(yè)也會有這種問題�����。
圖片來源:上海磐起信息科技有限公司
目前���,復(fù)制���、修改、使用部分源碼和依賴使用等模式的多樣化導(dǎo)致安全和開源代碼許可證的風(fēng)險增大�����,行業(yè)內(nèi)有一個解決方案叫SBOM,是軟件物料清單���。企業(yè)在SBOM上可以查看開源軟件的構(gòu)建版本��、軟件組件的發(fā)布編號�,并決定是否繼續(xù)使用���。
AutoTrust Security Analyzer
我們推出的SA工具可以幫助客戶準(zhǔn)確地查找開源許可證與安全漏洞的解決方案�����,其運作邏輯如下:
如果客戶需要掃描軟件��,就可以將其放在SA掃描器里���,第一步進行源代碼哈希(hash)加密,第二步是通過SA大數(shù)據(jù)庫(VDB)���,匹配CVE�����、補丁�、加密文件���、開源代碼��。核心在于第三步�,通過AI分析算法�,做基于函數(shù)和文件的漏洞分析,使用我們的VUDDY專利技術(shù)�����,通過軟件包管理器的依賴項分析推演各種結(jié)果�����。最后是進行Software BoM管理�����,AutoTrust Security Analyzer 為軟件供應(yīng)鏈管理提供SPDX 和 CycloneDX 兩種SBOM全球格式�����,便于識別軟件組件和管理所有SDLC階段的風(fēng)險。
圖片來源:上海磐起信息科技有限公司
這里簡單介紹一下漏掃的三種模式�,第一種是基于命令語,第二種是通過代碼上傳��,第三種是將代碼放在Git上��,可以直接在Git上對代碼進行漏掃�����。
市面上漏掃的工具很多�,大部分都是基于組件或者庫文件,頂多做到源代碼的C文件����、Java文件層級漏掃,但SA工具可以做到函數(shù)層漏掃���,可以提供更準(zhǔn)確的服務(wù)����。此外���,SA工具在打補丁時采用了backport��。比如說�,某個軟件的新版本發(fā)現(xiàn)了漏洞,通過修補源代碼后可以修復(fù)��,但此軟件的舊版本因為源代碼不同���,而不能通過同樣的修補來修復(fù),這時就需要針對舊版本的軟件來進行源代碼修補了�����,而Backport的作用就在于:將軟件的補丁應(yīng)用到比補丁對應(yīng)版本更老的版本上����。最后,除了已知的漏洞以外��,如果企業(yè)發(fā)現(xiàn)了不想公開的隱藏漏洞�,SA工具也支持對其進行自定義。以上是SA工具的優(yōu)勢所在��。
圖片來源:上海磐起信息科技有限公司
在授權(quán)問題上����,SA工具設(shè)置了專門的界面對授權(quán)進行管理:通過提供OSS許可證和發(fā)行信息消除了許可證合規(guī)風(fēng)險�����。它會自動創(chuàng)建檢測到的開源代碼授權(quán)風(fēng)險報告���。
具體到漏洞管理上,SA工具主要提供三類服務(wù)��。首先提供基于函數(shù)&庫的漏洞檢測:提供基于代碼級別(文件和函數(shù))的漏洞信息�;提供庫漏洞信息(包括依賴項)。第二是可以提供多種補丁信息:提供組件易受攻擊版本的補?����?�;提供確切易受攻擊功能的補丁���。第三是提供補丁建議(CVSS & CWE Top 25):提供基于 CVSS 的嚴(yán)重性評分信息�����;對于檢測到的 CVE 提供 CWE Top 25 信息��。
接下來需要給大家介紹一下軟件生命周期各階段開源管理運營方案��。在軟件定義階段�,需要開發(fā)人員收集將要使用的開源項目列表、查看有關(guān)安全漏洞�����、許可證和質(zhì)量的開源信息����;在軟件開發(fā)與測試階段�,需要開發(fā)人員基于可行性研究和開發(fā)計劃選定的開源項目進行開發(fā),開發(fā)結(jié)束后�,還需要開發(fā)人員遵守軟件治理政策,識別漏洞并處理授權(quán)問題���。
這里就需要使用到SA工具了�����,比如分析制造商源代碼有不暴露源代碼的需求���,那么只需要向合作伙伴提供 AutoTrust SA 掃描器�����,SA工具會對源代碼進行哈希加密�。SA工具還可以確認(rèn) SBoM(源代碼組件)信息�,檢測漏洞和許可證合規(guī)問題。
關(guān)于SF工具�����,這里就簡單過一下���。這個工具目前支持CAN FD協(xié)議��,目前正在開發(fā)以太網(wǎng)���、NFC、藍(lán)牙�、WIFI領(lǐng)域。
有關(guān)“上海磐起”
最后簡單介紹一下我們公司�,我們公司叫上海磐起信息科技有限公司,磐是磐石�,起是雄起:意味著在堅固磐石上雄起。我們公司目前的定位是做自動駕駛信息安全��,未來還要做移動出行信息安全。我們公司有一個比較重要的戰(zhàn)略合作伙伴AUTOCRYPT�,總部在韓國,AUTOCRYPT在德國�、慕尼黑、加拿大��、多倫多����、新加坡、美國硅谷都有分公司����。我之前在韓國待了十多年,這家公司也是我的老東家�����,在汽車信息安全領(lǐng)域大概做了十多年�����,2018年��,我回國創(chuàng)業(yè)與合作伙伴一起成立了磐起����。
我認(rèn)為自動駕駛有三個網(wǎng)絡(luò),一個是車內(nèi)網(wǎng)絡(luò)���,這個涉及到電子電氣架構(gòu)�����,比較復(fù)雜�。二是外部網(wǎng)絡(luò)���,比如V2X��、V2I���、V2V等。第三個是電力網(wǎng)絡(luò)��,現(xiàn)在自動駕駛的基本標(biāo)配是純電電動車�����,電動車跟充電樁交互的場景中會發(fā)生很多信息交互��,這時候會需要信息安全身份認(rèn)證和安全防護。
上海磐起信息科技的主營業(yè)務(wù)涉及三大領(lǐng)域:V2X 信息安全:基于 V2X 的自動駕駛信息安全解決方案及服務(wù)����;IVS 信息安全:黑客入侵防御及異常監(jiān)測防御解決方案及合規(guī)咨詢服務(wù);V2G 信息安全:新能源汽車充電信息安全解決方案及認(rèn)證服務(wù)�����。
圖片來源:上海磐起信息科技有限公司
具體而言���,IVS主要是合規(guī)咨詢���、信息安全解決方案、信息安全測試���,這里面核心產(chǎn)品是解決方案�����,比如AutoTrust IVS – IDS;AutoTrust IVS – VSOC���;AutoTrust IVS – ECU����。另外就是V2X,主要包括包括終端���、OBU��、RSU上的安全協(xié)議棧�,包括服務(wù)器端的SCMS云端的CA平臺����,CA平臺既滿足中國國內(nèi)的行業(yè)標(biāo)準(zhǔn),還支持IEEE 1609.2的標(biāo)準(zhǔn)�����,還有歐洲A級標(biāo)準(zhǔn)等等��。
最后是V2G�����,主要包括PKI技術(shù)�,比如說電動汽車和充電樁互聯(lián)時,就需要利用到PKI系統(tǒng)防護。此外�����,車端和充電終端的EVCC和SECC模塊里也需要搭載安全協(xié)議棧���。目前我們公司跟國內(nèi)的主機廠���、充電樁公司等都有合作。
我們在國內(nèi)外都有項目經(jīng)驗����,國內(nèi)項目大概占三分之一,國外的項目比較多���,現(xiàn)在正在將國外的項目盡快地移植到國內(nèi)�����。最后�����,上海磐起信息科技有限公司是初創(chuàng)公司��,使命是保障自動駕駛移動出行的信息安全�,愿景是做自動駕駛移動出行的“信息安全雄鷹”��,以上是我的分享����,謝謝大家。
(以上內(nèi)容來自上海磐起信息科技有限公司總經(jīng)理金濤于2022年8月25日由蓋世汽車主辦的2022中國汽車信息安全與功能安全大會發(fā)表的《汽車信息安全漏洞掃描及模糊測試工具介紹》主題演講�����。)
來源:蓋世汽車
作者:薈薈
本文地址:http://ewshbmdt.cn/news/qiye/185210
返回第一電動網(wǎng)首頁 >
以上內(nèi)容轉(zhuǎn)載自蓋世汽車���,目的在于傳播更多信息�,如有侵僅請聯(lián)系admin#d1ev.com(#替換成@)刪除��,轉(zhuǎn)載內(nèi)容并不代表第一電動網(wǎng)(ewshbmdt.cn)立場�����。
文中圖片源自互聯(lián)網(wǎng)�,如有侵權(quán)請聯(lián)系admin#d1ev.com(#替換成@)刪除。
京公網(wǎng)安備
11010502033163號
