上海磐起信息科技有限公司為智能網(wǎng)聯(lián)汽車提供從車內(nèi)到車外一站式的V2X信息安全解決方案AutoTrust和信息安全風險評估咨詢服務CSRA。其中，AutoTrust基于智能網(wǎng)聯(lián)車內(nèi)、外通信過程，為OEM和Tier 1提供整套通信安全解決方案以確保車輛安全，其相關服務包括身份驗證系統(tǒng)、防火墻以及加密密鑰生成和管理等各模塊。

上海磐起信息科技有限公司總經(jīng)理金濤圍繞《汽車信息安全漏洞掃描及模糊測試工具介紹》展開演講，圍繞行業(yè)背景、AutoTrust Security Analyzer、有關“上海磐起”三方面進行介紹。以下是演講內(nèi)容整理：

上海磐起信息科技有限公司總經(jīng)理金濤

今天我給大家分享的干貨就是聚焦一個點：測試，尤其是測試中的基于開源軟件的漏洞掃描。首先是背景介紹：為什么要做測試。第二是關于漏洞掃描，漏掃工具名字叫AutoTrust Security Analyzer（以下簡稱SA工具），測試工具叫AutoTrust Security Fuzzer，AutoTrust是我們公司的產(chǎn)品系列，因為我們也有自己的安全解決方案。最后我也會簡單介紹一下我們的公司背景。

開源代碼風險管理的必要性

首先是關于測試的背景，大家都對ISO/SAE 21434很熟悉，里面提到了功能測試，單元測試，漏洞掃描，包括靜態(tài)分析、動態(tài)分析、開源軟件的漏掃，最后是滲透測試。我今天要講的是ISO/SAE 21434第十章中網(wǎng)絡安全設計的集成和驗證（Integration Verification），和第十一章網(wǎng)絡安全確認（Cybersecurity Validation）。

目前來看，開源安全軟件其實有兩個問題，首先是已知漏洞的掃描問題，第二是開源軟件的授權問題。比如國外有一些開源聯(lián)盟，要求如果使用聯(lián)盟提供的開源軟件，那么做二次開發(fā)也要給別人公布并報備，這可能涉及到知識產(chǎn)權糾紛，這個在電子行業(yè)很普及，汽車行業(yè)也會有這種問題。

圖片來源：上海磐起信息科技有限公司

目前，復制、修改、使用部分源碼和依賴使用等模式的多樣化導致安全和開源代碼許可證的風險增大，行業(yè)內(nèi)有一個解決方案叫SBOM，是軟件物料清單。企業(yè)在SBOM上可以查看開源軟件的構建版本、軟件組件的發(fā)布編號，并決定是否繼續(xù)使用。

AutoTrust Security Analyzer

我們推出的SA工具可以幫助客戶準確地查找開源許可證與安全漏洞的解決方案，其運作邏輯如下：

如果客戶需要掃描軟件，就可以將其放在SA掃描器里，第一步進行源代碼哈希（hash）加密，第二步是通過SA大數(shù)據(jù)庫（VDB），匹配CVE、補丁、加密文件、開源代碼。核心在于第三步，通過AI分析算法，做基于函數(shù)和文件的漏洞分析，使用我們的VUDDY專利技術，通過軟件包管理器的依賴項分析推演各種結果。最后是進行Software BoM管理，AutoTrust Security Analyzer 為軟件供應鏈管理提供SPDX 和 CycloneDX 兩種SBOM全球格式，便于識別軟件組件和管理所有SDLC階段的風險。

圖片來源：上海磐起信息科技有限公司

這里簡單介紹一下漏掃的三種模式，第一種是基于命令語，第二種是通過代碼上傳，第三種是將代碼放在Git上，可以直接在Git上對代碼進行漏掃。

市面上漏掃的工具很多，大部分都是基于組件或者庫文件，頂多做到源代碼的C文件、Java文件層級漏掃，但SA工具可以做到函數(shù)層漏掃，可以提供更準確的服務。此外，SA工具在打補丁時采用了backport。比如說，某個軟件的新版本發(fā)現(xiàn)了漏洞，通過修補源代碼后可以修復，但此軟件的舊版本因為源代碼不同，而不能通過同樣的修補來修復，這時就需要針對舊版本的軟件來進行源代碼修補了，而Backport的作用就在于：將軟件的補丁應用到比補丁對應版本更老的版本上。最后，除了已知的漏洞以外，如果企業(yè)發(fā)現(xiàn)了不想公開的隱藏漏洞，SA工具也支持對其進行自定義。以上是SA工具的優(yōu)勢所在。

圖片來源：上海磐起信息科技有限公司

在授權問題上，SA工具設置了專門的界面對授權進行管理：通過提供OSS許可證和發(fā)行信息消除了許可證合規(guī)風險。它會自動創(chuàng)建檢測到的開源代碼授權風險報告。

具體到漏洞管理上，SA工具主要提供三類服務。首先提供基于函數(shù)&庫的漏洞檢測：提供基于代碼級別（文件和函數(shù)）的漏洞信息；提供庫漏洞信息（包括依賴項）。第二是可以提供多種補丁信息：提供組件易受攻擊版本的補??；提供確切易受攻擊功能的補丁。第三是提供補丁建議(CVSS & CWE Top 25)：提供基于 CVSS 的嚴重性評分信息；對于檢測到的 CVE 提供 CWE Top 25 信息。

接下來需要給大家介紹一下軟件生命周期各階段開源管理運營方案。在軟件定義階段，需要開發(fā)人員收集將要使用的開源項目列表、查看有關安全漏洞、許可證和質量的開源信息；在軟件開發(fā)與測試階段，需要開發(fā)人員基于可行性研究和開發(fā)計劃選定的開源項目進行開發(fā)，開發(fā)結束后，還需要開發(fā)人員遵守軟件治理政策，識別漏洞并處理授權問題。

這里就需要使用到SA工具了，比如分析制造商源代碼有不暴露源代碼的需求，那么只需要向合作伙伴提供 AutoTrust SA 掃描器，SA工具會對源代碼進行哈希加密。SA工具還可以確認 SBoM（源代碼組件）信息，檢測漏洞和許可證合規(guī)問題。

關于SF工具，這里就簡單過一下。這個工具目前支持CAN FD協(xié)議，目前正在開發(fā)以太網(wǎng)、NFC、藍牙、WIFI領域。

有關“上海磐起”

最后簡單介紹一下我們公司，我們公司叫上海磐起信息科技有限公司，磐是磐石，起是雄起：意味著在堅固磐石上雄起。我們公司目前的定位是做自動駕駛信息安全，未來還要做移動出行信息安全。我們公司有一個比較重要的戰(zhàn)略合作伙伴AUTOCRYPT，總部在韓國，AUTOCRYPT在德國、慕尼黑、加拿大、多倫多、新加坡、美國硅谷都有分公司。我之前在韓國待了十多年，這家公司也是我的老東家，在汽車信息安全領域大概做了十多年，2018年，我回國創(chuàng)業(yè)與合作伙伴一起成立了磐起。

我認為自動駕駛有三個網(wǎng)絡，一個是車內(nèi)網(wǎng)絡，這個涉及到電子電氣架構，比較復雜。二是外部網(wǎng)絡，比如V2X、V2I、V2V等。第三個是電力網(wǎng)絡，現(xiàn)在自動駕駛的基本標配是純電電動車，電動車跟充電樁交互的場景中會發(fā)生很多信息交互，這時候會需要信息安全身份認證和安全防護。

上海磐起信息科技的主營業(yè)務涉及三大領域：V2X 信息安全：基于 V2X 的自動駕駛信息安全解決方案及服務；IVS 信息安全：黑客入侵防御及異常監(jiān)測防御解決方案及合規(guī)咨詢服務；V2G 信息安全：新能源汽車充電信息安全解決方案及認證服務。

圖片來源：上海磐起信息科技有限公司

具體而言，IVS主要是合規(guī)咨詢、信息安全解決方案、信息安全測試，這里面核心產(chǎn)品是解決方案，比如AutoTrust IVS – IDS；AutoTrust IVS – VSOC；AutoTrust IVS – ECU。另外就是V2X，主要包括包括終端、OBU、RSU上的安全協(xié)議棧，包括服務器端的SCMS云端的CA平臺，CA平臺既滿足中國國內(nèi)的行業(yè)標準，還支持IEEE 1609.2的標準，還有歐洲A級標準等等。

最后是V2G，主要包括PKI技術，比如說電動汽車和充電樁互聯(lián)時，就需要利用到PKI系統(tǒng)防護。此外，車端和充電終端的EVCC和SECC模塊里也需要搭載安全協(xié)議棧。目前我們公司跟國內(nèi)的主機廠、充電樁公司等都有合作。

我們在國內(nèi)外都有項目經(jīng)驗，國內(nèi)項目大概占三分之一，國外的項目比較多，現(xiàn)在正在將國外的項目盡快地移植到國內(nèi)。最后，上海磐起信息科技有限公司是初創(chuàng)公司，使命是保障自動駕駛移動出行的信息安全，愿景是做自動駕駛移動出行的“信息安全雄鷹”，以上是我的分享，謝謝大家。

（以上內(nèi)容來自上海磐起信息科技有限公司總經(jīng)理金濤于2022年8月25日由蓋世汽車主辦的2022中國汽車信息安全與功能安全大會發(fā)表的《汽車信息安全漏洞掃描及模糊測試工具介紹》主題演講。）

返回第一電動網(wǎng)首頁 >