為什么汽車網(wǎng)絡(luò)安全很重要Why Automotive Cybersecurity Is Important

許多汽車公司向電子道路車輛的轉(zhuǎn)變從根本上改變了整個行業(yè)，提高了汽車的互聯(lián)性和智能性。隨著電子汽車變得更加互聯(lián)和智能，它們也越來越依賴軟件來實現(xiàn)車輛操作，驅(qū)動更多的特性和功能來提升駕駛體驗。

道路車輛中越多的特性和功能導(dǎo)致了更多的復(fù)雜性和代碼。一輛標(biāo)準(zhǔn)電動汽車運行超過1億行的代碼，這也意味著會面臨更多的問題。目標(biāo)的主要攻擊載體之一是電子控制單元（ECU），它為車輛子系統(tǒng)的操作、監(jiān)控和配置提供重要的通信和基本功能。保護(hù)道路車輛免受網(wǎng)絡(luò)安全威脅比以往任何時候都更加重要。

什么是電子控制單元（ECU）？

ECU是微處理器控制的設(shè)備，可以提供各種車輛基本功能，包括以下功能：

• 發(fā)動機和動力轉(zhuǎn)向

• 燃油噴射

• 電動車窗和座椅等舒適性方面

• 溫度控制

• 無鑰匙進(jìn)入和門鎖等安全功能

ECU可能成為網(wǎng)絡(luò)攻擊目標(biāo)

有足夠的研究和漏洞利用的證據(jù)證明ECU是如何被逆向工程和破壞的。其中包括2015年的吉普黑客攻擊、2016年、2017年的特斯拉黑客攻擊、2018年的寶馬黑客攻擊等案例。在這些例子中，ECU都被成功地鎖定并破壞，使攻擊者能夠重新編程并改變車輛功能的行為。

有研究人員對來自不同制造商和供應(yīng)商的40多個ECU進(jìn)行了研究。他們分析發(fā)現(xiàn)，ECU硬件和軟件中都存在300多個漏洞，所有高風(fēng)險漏洞都存在于軟件中。

安全設(shè)計尤為重要

從一開始就建立安全是新的汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)ISO 21434的首要目標(biāo)。ECU中存在各種漏洞表明了網(wǎng)絡(luò)安全的嚴(yán)重性及其對安全的影響，該標(biāo)準(zhǔn)試圖通過直接影響道路車輛部件設(shè)計和開發(fā)的要求和建議來解決這些問題。

ISO 21434旨在將高質(zhì)量的安全和網(wǎng)絡(luò)安全措施貫穿于整個產(chǎn)品工程生命周期，鼓勵與系統(tǒng)工程V型模型保持一致，以指導(dǎo)車輛制造商和供應(yīng)商遵循網(wǎng)絡(luò)安全的良好架構(gòu)設(shè)計要求，從而保護(hù)道路車輛功能的可信度、完整性、可用性和真實性。ISO 21434這就要求將軟件驗證和確認(rèn)作為產(chǎn)品測試的一部分。

ISO 21434要求開展軟件驗證活動

軟件測試在幫助制造商和供應(yīng)商滿足ISO 21434中列出的要求和建議方面發(fā)揮著關(guān)鍵作用。作為軟件驗證活動的一部分，將靜態(tài)代碼分析正式化是一種理想的方法，可以用來識別和消除代碼中的歧義，并找出可能暴露ECU組件中使用的軟件漏洞的薄弱環(huán)節(jié)。這有助于最大限度地減少攻擊者可以利用的攻擊面，從而破壞控制關(guān)鍵車輛操作的ECU。

具體而言，ISO 21434在第10.4節(jié)“要求和建議”中引用并要求進(jìn)行靜態(tài)分析。

第10.4.1節(jié)設(shè)計

強制執(zhí)行強類型、使用語言子集和實現(xiàn)防御性實現(xiàn)技術(shù)都是ISO 21434中規(guī)定的要求。使用Parasoft MISRA C和CERT C檢查程序和規(guī)則使安全編碼合規(guī)實踐正式化，將有助于制造商和供應(yīng)商遵守ISO 21434的要求和建議，以降低軟件和設(shè)計中的潛在風(fēng)險。

采用網(wǎng)絡(luò)安全和安全編碼實踐來支持軟件驗證和確認(rèn)是一種最佳實踐，也是確認(rèn)ISO 21434中概述的網(wǎng)絡(luò)安全規(guī)范的關(guān)鍵。使用Parasoft C/C++代碼分析功能可以簡化與關(guān)鍵安全軟件相關(guān)的軟件測試的嚴(yán)格性。

Parasoft C/C++test實現(xiàn)軟件測試自動化非常簡單，它采用集成方法，將靜態(tài)分析、代碼覆蓋率、單元測試、需求可追溯性和報告分析結(jié)合在一起，以簡化ISO 21434合規(guī)性要求。

第10.4.2節(jié)集成和驗證

ISO 21434第10.4.2節(jié)提供了軟件驗證方法列表，使用Parasoft的C/C++代碼分析功能可以滿足的這些要求。使用數(shù)據(jù)流分析可以檢測到許多安全漏洞。Parasoft的C/C++代碼分析引擎可以為產(chǎn)品工程團(tuán)隊提供有深度的流分析，如使用后釋放、雙重釋放和緩沖區(qū)溢出。

Parasoft：汽車網(wǎng)絡(luò)安全之路

Parasoft的C/C++集成自動化測試解決方案是您SDLC和產(chǎn)品工程領(lǐng)域的最佳解決方案。Parasoft在嵌入式軟件市場擁有豐富的經(jīng)驗和專業(yè)知識，可幫助您滿足安全和網(wǎng)絡(luò)安全合規(guī)需求。

軟件測試自動化工具、分析、人工智能和報告的獨特組合從一開始就提供了對質(zhì)量和安全問題的可見性。這使產(chǎn)品工程師團(tuán)隊能夠根據(jù)市場要求的標(biāo)準(zhǔn)和最佳實踐加速軟件驗證。