最初,软件材料清单(SBOM)是在汽车行业 之外开发的,用于处理软件许可证合规性问题。此后,SBOM 在漏洞跟踪方面的优势得到了广泛认可,目前正在作为确保未来软件定义车辆 (SDV) 安全的一部分进行部署。
在本期SBD Explores 中,我们将深入探讨 SBOM 在汽车行业 中的地位,研究它们的优势和局限性(包括汽车企业内部以及更广泛的软件生态系统),并分享它们在确保汽车软件安全方面的发展方向。
发生了什么?
SBOM 是一种机器可读格式,可用于重要的质量跟踪和验证流程。
现代汽车包含来自主机厂 、供应商和第三方的软件组件。这就需要强有力的文档来确保可追溯性。
汽车制造商可以将 SBOM 与漏洞进行比较。这样就能更快地进行修复或选择适当的缓解措施。可以识别常见漏洞和暴露(CVE),并阻止受影响模块的重复使用。
在整个生态系统中,SBOM 可帮助验证所使用的软件库。合作伙伴在确保未来组件只使用固定版本方面面临挑战。
2021-2022 年的 Log4j/Log4Shell 软件缺陷虽然不是汽车行业的,但却是在一个广泛使用的开源 Java 开发库中发现的。补救挑战让所有网络部门认识到,跟踪和控制已发布产品中使用的库版本非常重要。
为解决供应链安全问题,汽车主机厂 对 SBOM 产生了浓厚的兴趣,并已将其付诸实施。
这带来了什么影响?
虽然监管机构目前将 SBOM 作为 "检查项目",但通过深思熟虑的整合,安全目标将得以实现。
主机厂 软件管理必须符合复杂的监管框架。管理来自供应商、联盟和内部的不断增长的软件源代码和二进制文件需要标准格式和工具。
供应链攻击表明,有必要验证软件源的真实性。SBOM 提供了跨项目和跨行业的高效方法。
法规和最佳实践指南推动制造商采用良好的网络安全实践。主机厂 ,需要实施相关流程,以实现效益最大化,同时将成本降至最低。
如果将 SBOM 系统嵌入开发和更新流程,则 SBOM 可帮助快速传播已实施的修正。
SBOM 不应该成为主机厂 和供应商之间相互指责的工具,而应该加快修复速度,防止已知漏洞的传播。
下一步去哪里?
主机厂 可以利用软件定义汽车转型,更清晰地识别和有效保护汽车软件的价值创造。
随着主机厂 对汽车软件价值的参与度不断提高,他们对组织内外的软件系统依赖性也有了更深入的了解。这种了解包括跟踪软件包的许可证、原作者和当前维护者。
在短期内,通过扫描现有代码生成 SBOM 将突出系统模块集成商关注的领域。随着软件作者将 SBOM 添加到他们的开发流程中,依赖选项相对风险的可视性将得到提高,从而改善系统的稳健性。
随着主机厂 为下一代软件定义汽车构建更多内部软件,可以更好地跟踪内部 SBOM,确保在发布前修复已知漏洞。
主机厂 正在与可信赖的合作伙伴试验使用 SBOM。这样做的目的是在整个供应链中提高从首次发布漏洞消息到加速修复受影响系统和服务的可追溯性。
SBOM 符合 R156 的要求,提高了无线更新的稳健性。
从长远来看,通过主机厂 SBOM 标准化的通用中间件,消费者将受益于更快的更新和更少的召回,从而更好地保障汽车生态系统的安全。
谁需要注意这些变化?
认证机构和标准组织正在与汽车行业 合作,通过协作实现不断提高的网络安全水平。
主机厂 需要改进 SBOM 流程,以满足未来型式批准法规的要求。
认证机构希望不断改进,以应对日益严峻的网络安全挑战。如果认为今天用于审批的方法足以应对未来,那就大错特错了。
Auto-ISAC 和 GlobalPlatform 就是汽车 SBOM 工作组组织的两个例子。
通用 SBOM 格式、协议和标准将根据行业反馈和不断变化的技术继续完善。
预计将根据 SBOM 的有力实施情况,提出进一步的要求和建议。
你该如何应对?
拥抱
通过启用全公司和生态系统软件模块版本和控制,支持 SBOM 部署和开发。
实施
利用 SBOM 进行 "左移",以利用改进的可追溯性,从而减少漏洞并更快地打补丁。
合作
确定行业联盟和工具供应商合作伙伴,以优化汽车应用中现有 SBOM 解决方案和流程的部署。
想了解更多信息?
我们的大部分工作是通过定制项目帮助客户深入应对新的挑战和机遇。如果您想讨论我们最近完成的与网络安全有关的项目,请立即联系我们!
此外,请务必查看我们的相关内容:
