文 | 中汽智聯(lián)技術(shù)有限公司 李翠萍 張巧

隨著智能網(wǎng)聯(lián)汽車功能的不斷豐富，汽車已從傳統(tǒng)機(jī)械裝置演變?yōu)榧呻娮酉到y(tǒng)和軟件的智能化終端。在機(jī)械驅(qū)動(dòng)向軟件驅(qū)動(dòng)轉(zhuǎn)型的過程中，軟件體系差異日益成為汽車價(jià)值差異化的關(guān)鍵，軟件及服務(wù)能力逐漸成為汽車產(chǎn)業(yè)的核心競(jìng)爭(zhēng)力。然而，伴隨技術(shù)迭代加速，智能網(wǎng)聯(lián)汽車軟件安全風(fēng)險(xiǎn)呈顯著上升趨勢(shì)。中汽信息安全研究中心2023年發(fā)布的汽車行業(yè)十大風(fēng)險(xiǎn)報(bào)告顯示，安全風(fēng)險(xiǎn)的本質(zhì)多源于不安全的固件和軟件代碼，“車輛固件和軟件存在已知漏洞”和“車輛固件和軟件可被非授權(quán)獲取”在十大風(fēng)險(xiǎn)源中分別位列第二和第三。全球汽車行業(yè)因軟件安全問題引發(fā)的安全事件也頻繁發(fā)生。針對(duì)智能網(wǎng)聯(lián)汽車，由于部分產(chǎn)品間可能還存在系統(tǒng)軟件復(fù)用的情況，因此，一旦出現(xiàn)軟件安全漏洞，則可能導(dǎo)致大量的車輛產(chǎn)品面臨安全風(fēng)險(xiǎn)，影響范圍廣泛。例如，2021年6月，特斯拉汽車宣布召回28萬余輛不同型號(hào)的電動(dòng)汽車，相關(guān)召回車輛存在主動(dòng)巡航控制系統(tǒng)安全問題，易造成駕駛員部分情形誤激活主動(dòng)巡航功能，可能導(dǎo)致車輛速度突增，給安全駕駛帶來極大安全風(fēng)險(xiǎn)。2022年7月，本田無鑰匙進(jìn)入系統(tǒng)被曝存在重放攻擊漏洞，影響幾乎所有本田系列車輛，黑客可遠(yuǎn)程開鎖甚至啟動(dòng)，給車輛財(cái)產(chǎn)和駕乘人員生命安全帶來極高風(fēng)險(xiǎn)。由此可見，重視智能網(wǎng)聯(lián)汽車軟件安全風(fēng)險(xiǎn)，提高汽車行業(yè)的軟件安全治理水平顯得尤為重要。

一、智能網(wǎng)聯(lián)汽車軟件安全風(fēng)險(xiǎn)分析

隨著互聯(lián)網(wǎng)和信息技術(shù)的飛速發(fā)展，軟件已經(jīng)成為現(xiàn)代社會(huì)不可或缺的一部分，軟件安全問題在各行業(yè)都引發(fā)了高度重視。在汽車產(chǎn)業(yè)智能化、網(wǎng)聯(lián)化轉(zhuǎn)型進(jìn)程中，智能網(wǎng)聯(lián)汽車高度集成的軟件系統(tǒng)，使其軟件安全風(fēng)險(xiǎn)呈現(xiàn)獨(dú)特性與復(fù)雜性，亟需開展系統(tǒng)性研究與應(yīng)對(duì)。

（一）智能網(wǎng)聯(lián)汽車軟件安全風(fēng)險(xiǎn)由來分析

智能網(wǎng)聯(lián)汽車軟件安全風(fēng)險(xiǎn)并非孤立存在，其背后交織著產(chǎn)業(yè)生態(tài)與技術(shù)架構(gòu)的多重因素。汽車行業(yè)供應(yīng)鏈復(fù)雜、開源軟件廣泛應(yīng)用以及軟件管理體系尚不完善等現(xiàn)狀，共同催生了日益嚴(yán)峻的安全風(fēng)險(xiǎn)，需從開發(fā)流程、技術(shù)應(yīng)用、管理機(jī)制等維度深挖根源。

1. 多主體參與的軟件開發(fā)流程

智能網(wǎng)聯(lián)汽車軟件架構(gòu)日益復(fù)雜，多主體參與的軟件開發(fā)流程增加了安全風(fēng)險(xiǎn)。智能網(wǎng)聯(lián)汽車嵌入式軟件架構(gòu)可以大致分為系統(tǒng)架構(gòu)、電子控制單元（Electronic Control Unit，ECU）、軟件組件（Software Component，SWC）三個(gè)層級(jí)，SWC層級(jí)可以細(xì)分為應(yīng)用軟件（Application Software，ASW）和基礎(chǔ)軟件（Basic Software，BSW）。整車軟件開發(fā)工作工程量巨大，以單芯片艙駕融合軟件系統(tǒng)為例，系統(tǒng)涉及QNX、Linux等諸多的操作系統(tǒng)，其中，QNX約有1300萬行代碼，Linux kernel約4800萬行，AUTOSAR約8200萬行，安卓車機(jī)約2億行，同時(shí)，每家汽車制造商還有自己的架構(gòu)平臺(tái)，平臺(tái)供應(yīng)商平均就有300至600家。當(dāng)前，汽車主機(jī)廠的部分ECU是直接從供應(yīng)商采購(gòu)或委外開發(fā)，對(duì)于涉及關(guān)鍵核心技術(shù)的ECU，主機(jī)廠可能負(fù)責(zé)算法和策略軟件的開發(fā)及軟件集成，對(duì)于BSW往往還是委外開發(fā)。從發(fā)展趨勢(shì)上看，雖然目前主機(jī)廠正在逐步形成自有軟件團(tuán)隊(duì)，轉(zhuǎn)向自主開發(fā)或與供應(yīng)商合作進(jìn)行白盒開發(fā)，但受現(xiàn)階段的開發(fā)模式限制，智能網(wǎng)聯(lián)汽車軟件開發(fā)涉及參與主體眾多，不僅導(dǎo)致主機(jī)廠對(duì)車輛產(chǎn)品軟件資產(chǎn)可見性有限，也使得對(duì)于車輛產(chǎn)品的軟件質(zhì)量和軟件安全的把控難度增加。

2. 開源組件引入的開源安全風(fēng)險(xiǎn)

智能網(wǎng)聯(lián)汽車產(chǎn)品中的開源軟件不斷增多，不可避免地引入開源安全風(fēng)險(xiǎn)。現(xiàn)代軟件大部分是由組件組成的，軟件中的90%的代碼由第三方編寫，包含了商業(yè)組件和開源組件。開源組件（Open Source Software，OSS），又稱開放源代碼軟件，是指遵循開源許可證的軟件工具、庫(kù)、接口或固件，可以被任何人自由地使用、修改和分發(fā)。這些組件通常由社區(qū)維護(hù)和支持，旨在幫助開發(fā)人員快速構(gòu)建軟件并提高開發(fā)效率。根據(jù)網(wǎng)絡(luò)安全公司Cybellum《2022年汽車網(wǎng)絡(luò)安全現(xiàn)狀報(bào)告》統(tǒng)計(jì)，汽車產(chǎn)品中最常用的十大組件均為開源組件。新思科技《2024年度開源安全與風(fēng)險(xiǎn)分析報(bào)告》的統(tǒng)計(jì)分析結(jié)果也顯示，統(tǒng)計(jì)樣本中的所有汽車行業(yè)代碼庫(kù)均包含開源代碼。對(duì)于開源軟件，一方面其往往依賴于其他代碼庫(kù)和組件，從而導(dǎo)致安全風(fēng)險(xiǎn)的傳遞，統(tǒng)計(jì)數(shù)據(jù)顯示，汽車行業(yè)三分之一的代碼庫(kù)包含高風(fēng)險(xiǎn)漏洞，加之開源軟件的廣泛使用，極有可能將安全風(fēng)險(xiǎn)范圍進(jìn)一步擴(kuò)大；另一方面，開源軟件還面臨供應(yīng)鏈“投毒”風(fēng)險(xiǎn)，攻擊者可以通過惡意破壞開源組件導(dǎo)致供應(yīng)鏈下游軟件遭到破壞。此外，開源后門植入和開源數(shù)據(jù)泄露風(fēng)險(xiǎn)導(dǎo)致的安全事件也屢見不鮮，嚴(yán)重威脅著整個(gè)行業(yè)的安全。

3. 行業(yè)軟件管理維護(hù)及更新不足

行業(yè)的快速發(fā)展帶來了汽車軟件規(guī)模和復(fù)雜度的持續(xù)提升，現(xiàn)階段由于運(yùn)營(yíng)模式、開發(fā)效率以及成本控制等多方面的限制，針對(duì)汽車軟件的管理面臨著諸多困難，最終致使行業(yè)軟件管理維護(hù)及更新不足，運(yùn)營(yíng)安全風(fēng)險(xiǎn)日益增加。根據(jù)Cybellum《2023年汽車安全展望：實(shí)現(xiàn)安全的未來》報(bào)告，24%的汽車軟件產(chǎn)品包含10年以上的老版本軟件，例如bzip2-1.0.6、libcap-2.22、zlib-1.2.8等，這些老版本的組件庫(kù)會(huì)直接關(guān)聯(lián)各種漏洞，進(jìn)而給車輛帶來不同程度的安全風(fēng)險(xiǎn)，部分CVSS 3.0評(píng)分為10.0的CVE漏洞仍然存在于車輛的嵌入式軟件組件中。同時(shí)，長(zhǎng)期未維護(hù)的開源代碼庫(kù)也往往存在更高的安全風(fēng)險(xiǎn)，統(tǒng)計(jì)顯示，91%的代碼庫(kù)包含至少比最新版本落后10個(gè)版本的開源代碼，49%的代碼庫(kù)包含2年內(nèi)未更新的組件，在汽車上廣泛使用的部分開源軟件項(xiàng)目也面臨長(zhǎng)時(shí)間無人維護(hù)更新，繼續(xù)使用這些軟件組件將導(dǎo)致運(yùn)營(yíng)安全風(fēng)險(xiǎn)日益增加。

（二）智能網(wǎng)聯(lián)汽車軟件安全風(fēng)險(xiǎn)危害分析

相較于其他智能設(shè)備，智能網(wǎng)聯(lián)汽車運(yùn)行場(chǎng)景的特殊性與系統(tǒng)架構(gòu)的復(fù)雜性，決定了其安全風(fēng)險(xiǎn)的潛在危害更具破壞性。其高速動(dòng)態(tài)運(yùn)行特性、龐大的系統(tǒng)規(guī)模以及高頻的數(shù)據(jù)交互，使得軟件安全漏洞一旦被觸發(fā)，將迅速波及駕乘安全、交通秩序乃至國(guó)家安全等多個(gè)關(guān)鍵領(lǐng)域。

1. 安全漏洞威脅駕乘安全

軟件定義汽車時(shí)代下，汽車逐漸發(fā)展成為與電腦、手機(jī)等類似的與消費(fèi)者有多重交互的電子產(chǎn)品，隨著汽車軟件服務(wù)的增多，車輛不可避免地會(huì)存在軟件安全漏洞。但與傳統(tǒng)電子產(chǎn)品不同，汽車軟件系統(tǒng)復(fù)雜、代碼量大，且汽車軟件安全漏洞一旦被黑客惡意利用，可能導(dǎo)致車輛失竊、重要數(shù)據(jù)泄露、車輛轉(zhuǎn)向及剎車控制等，輕則造成車輛財(cái)產(chǎn)損失，重則直接威脅駕乘人員的人身安全。

2. 功能安全問題易造成安全事故

車輛的智能化、網(wǎng)聯(lián)化功能高度依賴軟件，一旦軟件出現(xiàn)故障或者誤判，例如決策算法邏輯缺陷、傳感器數(shù)據(jù)處理錯(cuò)誤或通信中斷等，可能導(dǎo)致車輛在行駛過程中出現(xiàn)失控或者誤操作，引發(fā)車輛碰撞或者失控等交通安全事故，影響社會(huì)安全。

3. 遠(yuǎn)程攻擊帶來車輛非法控制風(fēng)險(xiǎn)

隨著汽車功能的豐富和服務(wù)的不斷升級(jí)，越來越多的遠(yuǎn)程控車功能被廣泛使用，用戶可以通過手機(jī)控車軟件連接至車輛或者云端以實(shí)現(xiàn)遠(yuǎn)程開關(guān)車門、啟動(dòng)關(guān)閉引擎、燈光控制和鳴笛等操作。一旦遠(yuǎn)程服務(wù)軟件被惡意攻擊者攻破，攻擊者就可以通過互聯(lián)網(wǎng)遠(yuǎn)程入侵車輛的控制系統(tǒng)，且遠(yuǎn)程服務(wù)端被非法入侵可能造成批量非法控車，使得風(fēng)險(xiǎn)等級(jí)大大提高。

二、智能網(wǎng)聯(lián)汽車軟件安全治理國(guó)際做法經(jīng)驗(yàn)

近年來，以電信、金融、醫(yī)療等領(lǐng)域?yàn)闊狳c(diǎn)攻擊對(duì)象的軟件供應(yīng)鏈安全事件也引起了世界各國(guó)的高度重視，在軟件安全治理方面也推出了一系列的治理舉措，也已經(jīng)有針對(duì)汽車行業(yè)的專門實(shí)踐，有必要總結(jié)相關(guān)的治理做法，從而提煉出可以指導(dǎo)汽車行業(yè)軟件安全治理的先進(jìn)經(jīng)驗(yàn)。

（一）政策法規(guī)維度

針對(duì)軟件供應(yīng)鏈的安全保護(hù)，美國(guó)受到SolarWinds供應(yīng)鏈攻擊、微軟Exchange漏洞攻擊事件的警醒，早在2021年發(fā)布的《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政令》（EO 14028）中，就提出了針對(duì)軟件開發(fā)建立基線安全標(biāo)準(zhǔn)、確保信息技術(shù)服務(wù)提供商與政府共享威脅信息、設(shè)立網(wǎng)絡(luò)安全審查委員會(huì)等要求，其中，要求聯(lián)邦機(jī)構(gòu)應(yīng)在切實(shí)可行的范圍內(nèi)，確保其采購(gòu)或使用的軟件是根據(jù)安全軟件開發(fā)實(shí)踐開發(fā)和維護(hù)的，包括提供軟件物料清單（Software Bill of Materials，SBOM），其中列出所使用的庫(kù)、依賴項(xiàng)和自定義源代碼等組件。美國(guó)食品藥品監(jiān)督管理局（FDA）規(guī)定，自2023年3月起，所有使用軟件的醫(yī)療設(shè)備都必須創(chuàng)建并維護(hù)SBOM。2024年3月，歐洲議會(huì)宣布批準(zhǔn)了《網(wǎng)絡(luò)韌性法案》，法規(guī)要求所有出口歐洲的數(shù)字產(chǎn)品都必須提供安全保障、SBOM、漏洞報(bào)告機(jī)制和為期五年的補(bǔ)丁更新。

（二）實(shí)踐指南維度

為了進(jìn)一步幫助行業(yè)企業(yè)高效落地開展軟件安全治理，在實(shí)踐指導(dǎo)維度，各國(guó)也發(fā)布了系列指南文件。2023年11月，美國(guó)多個(gè)政府機(jī)構(gòu)部門聯(lián)合發(fā)布《保障軟件供應(yīng)鏈安全：SBOM實(shí)踐應(yīng)用相關(guān)指南》，詳細(xì)地提供了在軟件供應(yīng)鏈中使用開源軟件的準(zhǔn)則以及SBOM使用最佳實(shí)踐，并強(qiáng)調(diào)將供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估分配到采購(gòu)決策中，持續(xù)更新和評(píng)估軟件產(chǎn)品的威脅與風(fēng)險(xiǎn)。2023年7月，日本經(jīng)濟(jì)產(chǎn)業(yè)省（METI）商務(wù)和信息政策局發(fā)布《軟件管理引入軟件物料清單（SBOM）指南1.0版》，面向軟件供應(yīng)商和使用方提供了采用SBOM開展軟件管理的具體實(shí)踐指南。相關(guān)指南提供了對(duì)于SBOM生成、交付、使用以及實(shí)施等多個(gè)環(huán)節(jié)的相關(guān)指導(dǎo)性建議，從而實(shí)現(xiàn)和保障軟件供應(yīng)鏈中各利益相關(guān)方的網(wǎng)絡(luò)安全。同時(shí)，在漏洞利用性方面，美國(guó)國(guó)家電信和信息管理局（NTIA）于2021年推出漏洞可利用性交換（Vulnerability Exploitability eXchange，VEX），可與SBOM配合判斷有關(guān)軟件產(chǎn)品是否受到特定漏洞的影響。

（三）行業(yè)生態(tài)維度

在跨行業(yè)軟件安全治理方面，GitHub、Google、IBM等行業(yè)巨頭于2020年聯(lián)合牽頭成立開源軟件安全基金會(huì)（OpenSSF），通過建立開源開發(fā)者最佳實(shí)踐、保護(hù)關(guān)鍵項(xiàng)目、開源項(xiàng)目安全威脅識(shí)別、供應(yīng)鏈完整性、安全工具和漏洞披露等專項(xiàng)工作組，以提高開源軟件安全性。在汽車行業(yè)，日本汽車信息共享與分析中心（Japan Automotive ISAC，J-Auto-ISAC）于2023年4月成立了軟件物料清單工作組（Software Bill of Materials-Software Working Group，SBOM-SWG），專門致力于促進(jìn)提升汽車行業(yè)軟件供應(yīng)鏈的透明度，重點(diǎn)針對(duì)有效管理和跟蹤汽車軟件組件的安全性。自2023年10月起，該中心同北美汽車信息共享與分析中心就SBOM工作開展合作，探索建立國(guó)際性的統(tǒng)一標(biāo)準(zhǔn)。2024年，J-Auto-ISAC宣布計(jì)劃于2025年統(tǒng)一日本汽車SBOM規(guī)則，以記錄車載軟件中的關(guān)鍵信息并應(yīng)對(duì)潛在安全漏洞。

總體來看，各行業(yè)圍繞軟件開發(fā)安全、軟件供應(yīng)鏈安全、軟件漏洞披露共享等在政策法規(guī)、實(shí)踐指南及行業(yè)生態(tài)維度采取了一系列治理舉措，且均重點(diǎn)圍繞SBOM開展軟件供應(yīng)鏈透明度提升、威脅識(shí)別和漏洞披露跟蹤等重點(diǎn)工作。

三、啟示、思考及建議

汽車作為新的高集成化軟件集合體，智能網(wǎng)聯(lián)汽車中軟件安全問題會(huì)直接對(duì)車輛安全、用戶隱私乃至公共安全構(gòu)成嚴(yán)重威脅，為進(jìn)一步提升智能網(wǎng)聯(lián)汽車軟件安全治理水平，參考國(guó)際各行業(yè)軟件安全治理經(jīng)驗(yàn)，可從頂層設(shè)計(jì)、技術(shù)創(chuàng)新和行業(yè)生態(tài)等多方面協(xié)同發(fā)力。

（一）完善頂層設(shè)計(jì)，從企業(yè)維度和產(chǎn)品維度完善政策法規(guī)及標(biāo)準(zhǔn)建設(shè)

重視汽車行業(yè)軟件質(zhì)量管理，加快推動(dòng)相關(guān)政策規(guī)范制定工作，尤其是針對(duì)汽車企業(yè)在產(chǎn)品全生命周期過程中的軟件安全管理要求以及車輛產(chǎn)品的軟件安全基線要求，并做好相關(guān)技術(shù)標(biāo)準(zhǔn)的配套工作，提升汽車行業(yè)軟件安全治理制度化、規(guī)范化、程序化水平。進(jìn)一步研判將SBOM納入汽車行業(yè)信息安全監(jiān)管的必要性，并探索建立車聯(lián)網(wǎng)關(guān)鍵設(shè)備的SBOM強(qiáng)制性認(rèn)證制度。同時(shí)，在行業(yè)指導(dǎo)維度，統(tǒng)籌推進(jìn)汽車行業(yè)軟件安全治理實(shí)踐指南的制定，以行業(yè)相關(guān)主管部門作為牽頭單位，聯(lián)合行業(yè)研究機(jī)構(gòu)、重點(diǎn)行業(yè)企業(yè)等主體，從行業(yè)實(shí)際需求出發(fā)，梳理適合我國(guó)國(guó)情的汽車軟件治理方案，供業(yè)內(nèi)相關(guān)主體用作落地實(shí)踐參考。在汽車行業(yè)軟件供應(yīng)鏈風(fēng)險(xiǎn)管控維度，應(yīng)設(shè)置一定的行業(yè)供應(yīng)商準(zhǔn)入門檻，并要求汽車生產(chǎn)企業(yè)通過合同協(xié)議或其他方式強(qiáng)化對(duì)軟件供應(yīng)商的約束及管理，增強(qiáng)汽車供應(yīng)鏈的透明度，以便汽車企業(yè)能夠從源頭上強(qiáng)化軟件安全風(fēng)險(xiǎn)管控。從意識(shí)層面、行業(yè)指南層面、行業(yè)監(jiān)管層面等多維度入手，強(qiáng)化汽車行業(yè)的軟件安全治理制度保障。

（二）加強(qiáng)技術(shù)研發(fā)，強(qiáng)化汽車行業(yè)亟須的軟件安全治理關(guān)鍵技術(shù)攻關(guān)

針對(duì)當(dāng)前汽車行業(yè)軟件安全存在的軟件成分信息不透明、漏洞識(shí)別難度大、漏洞驗(yàn)證門檻高以及潛在的開源軟件知識(shí)產(chǎn)權(quán)合規(guī)風(fēng)險(xiǎn)等行業(yè)共性問題，應(yīng)加強(qiáng)車聯(lián)網(wǎng)專用軟件安全工具鏈的研發(fā)及技術(shù)攻關(guān)，面向智能網(wǎng)聯(lián)汽車軟件安全需求開展專門研究，包括汽車軟件安全開發(fā)流程體系、車聯(lián)網(wǎng)軟件成分分析技術(shù)、安全風(fēng)險(xiǎn)靜態(tài)檢測(cè)及動(dòng)態(tài)檢測(cè)技術(shù)、模糊檢測(cè)技術(shù)等。研發(fā)端到端的車聯(lián)網(wǎng)軟件安全生命周期管理工具，升級(jí)汽車產(chǎn)品開發(fā)模型，在車聯(lián)網(wǎng)開發(fā)、安全與運(yùn)維（DevSecOps）框架中集成軟件安全管理體系及SBOM生成和安全掃描等關(guān)鍵技術(shù)，結(jié)合自動(dòng)化漏洞掃描工具，基于SBOM自動(dòng)生成補(bǔ)丁，修復(fù)漏洞并發(fā)布更新，從而實(shí)現(xiàn)從原型車設(shè)計(jì)、零部件開發(fā)，到后期遠(yuǎn)程升級(jí)技術(shù)（OTA）更新等各個(gè)環(huán)節(jié)都通過SBOM進(jìn)行安全審查和管理，實(shí)現(xiàn)汽車軟件研發(fā)全生命周期的自動(dòng)化安全漏洞管理，為汽車軟件的安全研發(fā)提供可靠保護(hù)。

（三）發(fā)揮行業(yè)力量，鼓勵(lì)行業(yè)組織探索建立汽車行業(yè)軟件安全治理組織

借鑒國(guó)際做法，支持并推動(dòng)行業(yè)研究機(jī)構(gòu)、第三方組織等牽頭成立我國(guó)汽車行業(yè)軟件安全治理組織或行業(yè)聯(lián)盟，鼓勵(lì)共同開展汽車軟件安全治理相關(guān)研究工作。搭建行業(yè)級(jí)的合作和交流平臺(tái)，匯聚政府部門、研究機(jī)構(gòu)及企業(yè)的各類資源，在組織內(nèi)開展技術(shù)交流、數(shù)據(jù)共享、軟件漏洞披露以及最佳實(shí)踐共享等。組織應(yīng)包含汽車生產(chǎn)企業(yè)、零部件供應(yīng)商、軟件開發(fā)商、開源社區(qū)組織等，核心推動(dòng)行業(yè)數(shù)據(jù)資源匯聚，重點(diǎn)是各車企、供應(yīng)商和研究機(jī)構(gòu)，在一定的范圍內(nèi)進(jìn)行資產(chǎn)數(shù)據(jù)、安全數(shù)據(jù)的共享和匯集，從行業(yè)角度進(jìn)一步提升汽車軟件供應(yīng)鏈透明度，探索行業(yè)級(jí)的軟件安全風(fēng)險(xiǎn)數(shù)據(jù)交換機(jī)制，從而提升行業(yè)整體的安全防御能力。

四、結(jié) 語

隨著智能化、網(wǎng)聯(lián)化的進(jìn)程加快，汽車日益成為一個(gè)高利用價(jià)值的移動(dòng)智能終端，數(shù)據(jù)量激增和互聯(lián)接口增加使得對(duì)其網(wǎng)絡(luò)攻擊更加有利可圖，吸引了更多的黑客和惡意組織將攻擊方向轉(zhuǎn)向汽車行業(yè)，而軟件安全問題則不可避免地成為惡意攻擊的突破口。不同于其他行業(yè)，汽車軟件安全問題一旦被惡意利用，可能會(huì)造成個(gè)人隱私泄露、財(cái)產(chǎn)損失等不良影響，嚴(yán)重的還會(huì)對(duì)交通運(yùn)行安全、社會(huì)公共安全乃至國(guó)家安全構(gòu)成重大威脅。借鑒各行業(yè)軟件安全治理的做法經(jīng)驗(yàn)，應(yīng)當(dāng)構(gòu)建自上而下的汽車軟件安全治理體系，逐步配套標(biāo)準(zhǔn)規(guī)范，加強(qiáng)供應(yīng)鏈風(fēng)險(xiǎn)管控，強(qiáng)化關(guān)鍵核心技術(shù)攻關(guān)，同時(shí)充分發(fā)揮生態(tài)力量，從多維度逐步筑牢汽車行業(yè)軟件安全。

（本文刊登于《中國(guó)信息安全》雜志2025年第4期）