滚动：汽车信息安全漏洞扫描及模糊测试工具

上海磐起信息科技有限公司为智能网联汽车提供从车内到车外一站式的V2X信息安全解决方案AutoTrust和信息安全风险评估咨询服务CSRA。其中，AutoTrust基于智能网联车内、外通信过程，为OEM和Tier 1提供整套通信安全解决方案以确保车辆安全，其相关服务包括身份验证系统、防火墙以及加密密钥生成和管理等各模块。

上海磐起信息科技有限公司总经理金涛围绕《汽车信息安全漏洞扫描及模糊测试工具介绍》展开演讲，围绕行业背景、AutoTrust Security Analyzer、有关“上海磐起”三方面进行介绍。以下是演讲内容整理：

上海磐起信息科技有限公司总经理金涛

(相关资料图)

今天我给大家分享的干货就是聚焦一个点：测试，尤其是测试中的基于开源软件的漏洞扫描。首先是背景介绍：为什么要做测试。第二是关于漏洞扫描，漏扫工具名字叫AutoTrust Security Analyzer（以下简称SA工具），测试工具叫AutoTrust Security Fuzzer，AutoTrust是我们公司的产品系列，因为我们也有自己的安全解决方案。最后我也会简单介绍一下我们的公司背景。

开源代码风险管理的必要性

首先是关于测试的背景，大家都对ISO/SAE 21434很熟悉，里面提到了功能测试，单元测试，漏洞扫描，包括静态分析、动态分析、开源软件的漏扫，最后是渗透测试。我今天要讲的是ISO/SAE 21434第十章中网络安全设计的集成和验证（Integration Verification），和第十一章网络安全确认（Cybersecurity Validation）。

目前来看，开源安全软件其实有两个问题，首先是已知漏洞的扫描问题，第二是开源软件的授权问题。比如国外有一些开源联盟，要求如果使用联盟提供的开源软件，那么做二次开发也要给别人公布并报备，这可能涉及到知识产权纠纷，这个在电子行业很普及，汽车行业也会有这种问题。

图片来源：上海磐起信息科技有限公司

目前，复制、修改、使用部分源码和依赖使用等模式的多样化导致安全和开源代码许可证的风险增大，行业内有一个解决方案叫SBOM，是软件物料清单。企业在SBOM上可以查看开源软件的构建版本、软件组件的发布编号，并决定是否继续使用。

AutoTrust Security Analyzer

我们推出的SA工具可以帮助客户准确地查找开源许可证与安全漏洞的解决方案，其运作逻辑如下：

如果客户需要扫描软件，就可以将其放在SA扫描器里，第一步进行源代码哈希（hash）加密，第二步是通过SA大数据库（VDB），匹配CVE、补丁、加密文件、开源代码。核心在于第三步，通过AI分析算法，做基于函数和文件的漏洞分析，使用我们的VUDDY专利技术，通过软件包管理器的依赖项分析推演各种结果。最后是进行Software BoM管理，AutoTrust Security Analyzer 为软件供应链管理提供SPDX 和 CycloneDX 两种SBOM全球格式，便于识别软件组件和管理所有SDLC阶段的风险。

图片来源：上海磐起信息科技有限公司

这里简单介绍一下漏扫的三种模式，第一种是基于命令语，第二种是通过代码上传，第三种是将代码放在Git上，可以直接在Git上对代码进行漏扫。

市面上漏扫的工具很多，大部分都是基于组件或者库文件，顶多做到源代码的C文件、Java文件层级漏扫，但SA工具可以做到函数层漏扫，可以提供更准确的服务。此外，SA工具在打补丁时采用了backport。比如说，某个软件的新版本发现了漏洞，通过修补源代码后可以修复，但此软件的旧版本因为源代码不同，而不能通过同样的修补来修复，这时就需要针对旧版本的软件来进行源代码修补了，而Backport的作用就在于：将软件的补丁应用到比补丁对应版本更老的版本上。最后，除了已知的漏洞以外，如果企业发现了不想公开的隐藏漏洞，SA工具也支持对其进行自定义。以上是SA工具的优势所在。

图片来源：上海磐起信息科技有限公司

在授权问题上，SA工具设置了专门的界面对授权进行管理：通过提供OSS许可证和发行信息消除了许可证合规风险。它会自动创建检测到的开源代码授权风险报告。

具体到漏洞管理上，SA工具主要提供三类服务。首先提供基于函数&库的漏洞检测：提供基于代码级别（文件和函数）的漏洞信息；提供库漏洞信息（包括依赖项）。第二是可以提供多种补丁信息：提供组件易受攻击版本的补丁；提供确切易受攻击功能的补丁。第三是提供补丁建议(CVSS & CWE Top 25)：提供基于 CVSS 的严重性评分信息；对于检测到的 CVE 提供 CWE Top 25 信息。

接下来需要给大家介绍一下软件生命周期各阶段开源管理运营方案。在软件定义阶段，需要开发人员收集将要使用的开源项目列表、查看有关安全漏洞、许可证和质量的开源信息；在软件开发与测试阶段，需要开发人员基于可行性研究和开发计划选定的开源项目进行开发，开发结束后，还需要开发人员遵守软件治理政策，识别漏洞并处理授权问题。

这里就需要使用到SA工具了，比如分析制造商源代码有不暴露源代码的需求，那么只需要向合作伙伴提供 AutoTrust SA 扫描器，SA工具会对源代码进行哈希加密。SA工具还可以确认 SBoM（源代码组件）信息，检测漏洞和许可证合规问题。

关于SF工具，这里就简单过一下。这个工具目前支持CAN FD协议，目前正在开发以太网、NFC、蓝牙、WIFI领域。

有关“上海磐起”

最后简单介绍一下我们公司，我们公司叫上海磐起信息科技有限公司，磐是磐石，起是雄起：意味着在坚固磐石上雄起。我们公司目前的定位是做自动驾驶信息安全，未来还要做移动出行信息安全。我们公司有一个比较重要的战略合作伙伴AUTOCRYPT，总部在韩国，AUTOCRYPT在德国、慕尼黑、加拿大、多伦多、新加坡、美国硅谷都有分公司。我之前在韩国待了十多年，这家公司也是我的老东家，在汽车信息安全领域大概做了十多年，2018年，我回国创业与合作伙伴一起成立了磐起。

我认为自动驾驶有三个网络，一个是车内网络，这个涉及到电子电气架构，比较复杂。二是外部网络，比如V2X、V2I、V2V等。第三个是电力网络，现在自动驾驶的基本标配是纯电电动车，电动车跟充电桩交互的场景中会发生很多信息交互，这时候会需要信息安全身份认证和安全防护。

上海磐起信息科技的主营业务涉及三大领域：V2X 信息安全：基于 V2X 的自动驾驶信息安全解决方案及服务；IVS 信息安全：黑客入侵防御及异常监测防御解决方案及合规咨询服务；V2G 信息安全：新能源汽车充电信息安全解决方案及认证服务。

图片来源：上海磐起信息科技有限公司

具体而言，IVS主要是合规咨询、信息安全解决方案、信息安全测试，这里面核心产品是解决方案，比如AutoTrust IVS – IDS；AutoTrust IVS – VSOC；AutoTrust IVS – ECU。另外就是V2X，主要包括包括终端、OBU、RSU上的安全协议栈，包括服务器端的SCMS云端的CA平台，CA平台既满足中国国内的行业标准，还支持IEEE 1609.2的标准，还有欧洲A级标准等等。

最后是V2G，主要包括PKI技术，比如说电动汽车和充电桩互联时，就需要利用到PKI系统防护。此外，车端和充电终端的EVCC和SECC模块里也需要搭载安全协议栈。目前我们公司跟国内的主机厂、充电桩公司等都有合作。

我们在国内外都有项目经验，国内项目大概占三分之一，国外的项目比较多，现在正在将国外的项目尽快地移植到国内。最后，上海磐起信息科技有限公司是初创公司，使命是保障自动驾驶移动出行的信息安全，愿景是做自动驾驶移动出行的“信息安全雄鹰”，以上是我的分享，谢谢大家。

（以上内容来自上海磐起信息科技有限公司总经理金涛于2022年8月25日由盖世汽车主办的2022中国汽车信息安全与功能安全大会发表的《汽车信息安全漏洞扫描及模糊测试工具介绍》主题演讲。）

关键词：