滚动:汽车信息安全漏洞扫描及模糊测试工具
上海磐起信息科技有限公司为智能网联汽车提供从车内到车外一站式的V2X信息安全解决方案AutoTrust和信息安全风险评估咨询服务CSRA。其中,AutoTrust基于智能网联车内、外通信过程,为OEM和Tier 1提供整套通信安全解决方案以确保车辆安全,其相关服务包括身份验证系统、防火墙以及加密密钥生成和管理等各模块。
上海磐起信息科技有限公司总经理金涛围绕《汽车信息安全漏洞扫描及模糊测试工具介绍》展开演讲,围绕行业背景、AutoTrust Security Analyzer、有关“上海磐起”三方面进行介绍。以下是演讲内容整理:
上海磐起信息科技有限公司总经理金涛
(相关资料图)
今天我给大家分享的干货就是聚焦一个点:测试,尤其是测试中的基于开源软件的漏洞扫描。首先是背景介绍:为什么要做测试。第二是关于漏洞扫描,漏扫工具名字叫AutoTrust Security Analyzer(以下简称SA工具),测试工具叫AutoTrust Security Fuzzer,AutoTrust是我们公司的产品系列,因为我们也有自己的安全解决方案。最后我也会简单介绍一下我们的公司背景。
开源代码风险管理的必要性
首先是关于测试的背景,大家都对ISO/SAE 21434很熟悉,里面提到了功能测试,单元测试,漏洞扫描,包括静态分析、动态分析、开源软件的漏扫,最后是渗透测试。我今天要讲的是ISO/SAE 21434第十章中网络安全设计的集成和验证(Integration Verification),和第十一章网络安全确认(Cybersecurity Validation)。
目前来看,开源安全软件其实有两个问题,首先是已知漏洞的扫描问题,第二是开源软件的授权问题。比如国外有一些开源联盟,要求如果使用联盟提供的开源软件,那么做二次开发也要给别人公布并报备,这可能涉及到知识产权纠纷,这个在电子行业很普及,汽车行业也会有这种问题。
图片来源:上海磐起信息科技有限公司
目前,复制、修改、使用部分源码和依赖使用等模式的多样化导致安全和开源代码许可证的风险增大,行业内有一个解决方案叫SBOM,是软件物料清单。企业在SBOM上可以查看开源软件的构建版本、软件组件的发布编号,并决定是否继续使用。
AutoTrust Security Analyzer
我们推出的SA工具可以帮助客户准确地查找开源许可证与安全漏洞的解决方案,其运作逻辑如下:
如果客户需要扫描软件,就可以将其放在SA扫描器里,第一步进行源代码哈希(hash)加密,第二步是通过SA大数据库(VDB),匹配CVE、补丁、加密文件、开源代码。核心在于第三步,通过AI分析算法,做基于函数和文件的漏洞分析,使用我们的VUDDY专利技术,通过软件包管理器的依赖项分析推演各种结果。最后是进行Software BoM管理,AutoTrust Security Analyzer 为软件供应链管理提供SPDX 和 CycloneDX 两种SBOM全球格式,便于识别软件组件和管理所有SDLC阶段的风险。
图片来源:上海磐起信息科技有限公司
这里简单介绍一下漏扫的三种模式,第一种是基于命令语,第二种是通过代码上传,第三种是将代码放在Git上,可以直接在Git上对代码进行漏扫。
市面上漏扫的工具很多,大部分都是基于组件或者库文件,顶多做到源代码的C文件、Java文件层级漏扫,但SA工具可以做到函数层漏扫,可以提供更准确的服务。此外,SA工具在打补丁时采用了backport。比如说,某个软件的新版本发现了漏洞,通过修补源代码后可以修复,但此软件的旧版本因为源代码不同,而不能通过同样的修补来修复,这时就需要针对旧版本的软件来进行源代码修补了,而Backport的作用就在于:将软件的补丁应用到比补丁对应版本更老的版本上。最后,除了已知的漏洞以外,如果企业发现了不想公开的隐藏漏洞,SA工具也支持对其进行自定义。以上是SA工具的优势所在。
图片来源:上海磐起信息科技有限公司
在授权问题上,SA工具设置了专门的界面对授权进行管理:通过提供OSS许可证和发行信息消除了许可证合规风险。它会自动创建检测到的开源代码授权风险报告。
具体到漏洞管理上,SA工具主要提供三类服务。首先提供基于函数&库的漏洞检测:提供基于代码级别(文件和函数)的漏洞信息;提供库漏洞信息(包括依赖项)。第二是可以提供多种补丁信息:提供组件易受攻击版本的补丁;提供确切易受攻击功能的补丁。第三是提供补丁建议(CVSS & CWE Top 25):提供基于 CVSS 的严重性评分信息;对于检测到的 CVE 提供 CWE Top 25 信息。
接下来需要给大家介绍一下软件生命周期各阶段开源管理运营方案。在软件定义阶段,需要开发人员收集将要使用的开源项目列表、查看有关安全漏洞、许可证和质量的开源信息;在软件开发与测试阶段,需要开发人员基于可行性研究和开发计划选定的开源项目进行开发,开发结束后,还需要开发人员遵守软件治理政策,识别漏洞并处理授权问题。
这里就需要使用到SA工具了,比如分析制造商源代码有不暴露源代码的需求,那么只需要向合作伙伴提供 AutoTrust SA 扫描器,SA工具会对源代码进行哈希加密。SA工具还可以确认 SBoM(源代码组件)信息,检测漏洞和许可证合规问题。
关于SF工具,这里就简单过一下。这个工具目前支持CAN FD协议,目前正在开发以太网、NFC、蓝牙、WIFI领域。
有关“上海磐起”
最后简单介绍一下我们公司,我们公司叫上海磐起信息科技有限公司,磐是磐石,起是雄起:意味着在坚固磐石上雄起。我们公司目前的定位是做自动驾驶信息安全,未来还要做移动出行信息安全。我们公司有一个比较重要的战略合作伙伴AUTOCRYPT,总部在韩国,AUTOCRYPT在德国、慕尼黑、加拿大、多伦多、新加坡、美国硅谷都有分公司。我之前在韩国待了十多年,这家公司也是我的老东家,在汽车信息安全领域大概做了十多年,2018年,我回国创业与合作伙伴一起成立了磐起。
我认为自动驾驶有三个网络,一个是车内网络,这个涉及到电子电气架构,比较复杂。二是外部网络,比如V2X、V2I、V2V等。第三个是电力网络,现在自动驾驶的基本标配是纯电电动车,电动车跟充电桩交互的场景中会发生很多信息交互,这时候会需要信息安全身份认证和安全防护。
上海磐起信息科技的主营业务涉及三大领域:V2X 信息安全:基于 V2X 的自动驾驶信息安全解决方案及服务;IVS 信息安全:黑客入侵防御及异常监测防御解决方案及合规咨询服务;V2G 信息安全:新能源汽车充电信息安全解决方案及认证服务。
图片来源:上海磐起信息科技有限公司
具体而言,IVS主要是合规咨询、信息安全解决方案、信息安全测试,这里面核心产品是解决方案,比如AutoTrust IVS – IDS;AutoTrust IVS – VSOC;AutoTrust IVS – ECU。另外就是V2X,主要包括包括终端、OBU、RSU上的安全协议栈,包括服务器端的SCMS云端的CA平台,CA平台既满足中国国内的行业标准,还支持IEEE 1609.2的标准,还有欧洲A级标准等等。
最后是V2G,主要包括PKI技术,比如说电动汽车和充电桩互联时,就需要利用到PKI系统防护。此外,车端和充电终端的EVCC和SECC模块里也需要搭载安全协议栈。目前我们公司跟国内的主机厂、充电桩公司等都有合作。
我们在国内外都有项目经验,国内项目大概占三分之一,国外的项目比较多,现在正在将国外的项目尽快地移植到国内。最后,上海磐起信息科技有限公司是初创公司,使命是保障自动驾驶移动出行的信息安全,愿景是做自动驾驶移动出行的“信息安全雄鹰”,以上是我的分享,谢谢大家。
(以上内容来自上海磐起信息科技有限公司总经理金涛于2022年8月25日由盖世汽车主办的2022中国汽车信息安全与功能安全大会发表的《汽车信息安全漏洞扫描及模糊测试工具介绍》主题演讲。)
关键词:
相关阅读
-
09-19
-
09-19
-
09-19
-
09-19
推荐阅读
-
滚动:汽车信息安全漏洞扫描及模糊测试工具
汽车信息安全漏洞扫描及模糊测试工具上海磐起信息科技有限公司为智能网联汽车提供从车内到车外一站式的V2X信息安全解决方案AutoTrust和信息安更多
2022-09-19 17:27:54
-
每日速递:2022WICV丨交通运输部宋向辉:智慧公路
2022WICV丨交通运输部宋向辉:智慧公路与智能网联汽车协同发展探索9月16日,由北京市人民政府、工业和信息化部、公安部、交通运输部、中国科学更多
2022-09-19 16:34:17
-
世界最新:车路协同赋能自动驾驶|大唐高鸿智联获
车路协同赋能自动驾驶|大唐高鸿智联获得“2022盖世汽车优质供应商”奖9月15日-16日,盖世汽车2022第五届自动驾驶与人机共驾论坛在上海召开,围更多
2022-09-19 16:40:43
-
世界热门:电动汽车销量上涨致锂价格创新高
电动汽车销量上涨致锂价格创新高盖世汽车讯据外媒报道,作为电动汽车电池的关键材料,锂的价格正在飙升,这一趋势似乎已经无法阻挡。更多
2022-09-19 16:26:56
-
全球动态:SOSLAB推出下一代3D固态激光雷达ML-X
SOSLAB推出下一代3D固态激光雷达ML-X盖世汽车讯据外媒报道,韩国自动驾驶技术初创公司SOSLAB宣布推出下一代3D固态激光雷达ML-X。ML-X尺寸紧更多
2022-09-19 16:23:47
-
全球速看:吴国庆:车路通科技(成都)有限公司董
吴国庆:车路通科技(成都)有限公司董事长|参选2022金辑奖·中国汽车产业影响力人物奖吴国庆先生,吴国庆现任成都市龙泉驿区政协委员,“成都更多
2022-09-19 15:29:53
-
环球微资讯!陈泽坚:伯泰克汽车电子(芜湖)有限
陈泽坚:伯泰克汽车电子(芜湖)有限公司总裁|参选2022金辑奖·中国汽车产业影响力人物奖增值代工和硬件设计服务业务模式(HW+):当前汽车行业更多
2022-09-19 15:31:55
-
环球通讯!雷琴辉:科大讯飞股份有限公司智能汽车
雷琴辉:科大讯飞股份有限公司智能汽车事业部副总经理|参选2022金辑奖·中国汽车产业影响力人物奖雷琴辉,科大讯飞智能汽车事业部副总经理,博更多
2022-09-19 15:31:33
时尚热图
热门标签
全球首发!理想L8将提...
遭5次雷击后 美国将...
马斯克:年底前让特斯...
索尼将调整PS5价格 ...
微信PC版推送3.7.6版...
版权现在都是这么用的...
鸿海旗下斯洛伐克车用...
中国游戏厂商出海收入...
InternetExplorer正式退役
微软推出新的Defender...
《原神》2.2版本大更...
LOL:他们几个很强,...
LOL手游值得练习的6个...
王者荣耀:孙行者上架...
雅典娜18888金币英雄...
《英雄联盟手游》正式...
《堡垒之夜》被苹果拉...
mazon Games宣布他们...
PowerA主题手柄:续航...
银行股终于有了起色 ...
-
今日必看
-
精彩话题
-
资讯播报
- 滚动:汽车信息安全漏洞扫描及模糊测试工具
- 当前焦点!中国联通智网创新中心5G专网服务一期集采标包1结果出炉:亚信科技、中盈优创两家入围
- 世界最新:车路协同赋能自动驾驶|大唐高鸿智联获得“2022盖世汽车优质供应商”奖
- 每日速递:2022WICV丨交通运输部宋向辉:智慧公路与智能网联汽车协同发展探索
- 世界热门:电动汽车销量上涨致锂价格创新高
- 全球动态:SOSLAB推出下一代3D固态激光雷达ML-X
- 世界动态:山东联通与山东鲁花集团签署战略合作协议
- 世界微头条丨联通5G专网自服务集采,亚信科技和中盈优创中标
- 天天讯息:达契亚:将尽可能久地坚持内燃机汽车
- 焦点关注:保时捷拟9月29日正式上市
- 环球微资讯!陈泽坚:伯泰克汽车电子(芜湖)有限公司总裁 | 参选2022金辑奖·中国汽车产业影响力人物奖
- 环球通讯!雷琴辉:科大讯飞股份有限公司智能汽车事业部副总经理 | 参选2022金辑奖·中国汽车产业影响力人物奖
- 全球速看:吴国庆:车路通科技(成都)有限公司董事长 | 参选2022金辑奖·中国汽车产业影响力人物奖
- 焦点资讯:科技创新 赋能绿色发展 丨连云港海州移动:“云”上监管助力狙击餐饮油烟
- 当前速递!新固态锂金属电池3分钟充满电
- 即时看!北京中心城区交通信号灯联网联控率已达95%
- 环球热资讯!保时捷拟于9月29日上市:估值最高750亿欧元,为德国历史上第二大IPO
- 当前短讯!总投资约120亿,欣旺达东风宜昌动力电池生产基地项目签约
- 环球今头条!特斯拉2022年德国销量欲翻番
- 世界信息:国信通院:国内上市5G手机继续呈现高性能化发展趋势
- 当前热讯:中兴通讯高话务极客配置工具与RSD无线重保监控系统在山东联通落地应用
- 世界讯息:中国电信:火灾事故预计不会对公司生产经营、财务指标产生重大影响。
- 世界微动态丨【上周回顾】中国移动正式“入主”启明星辰;ETSI正式发布首个O-RAN规范;7月国内手机整体出货量同比下降30.6%
- 世界快看:日产因变速箱问题在北美召回20.3万辆卡车
- 天天热点!极星6纯电超跑中国预订 零百3.2秒/售168万
- 每日消息!太阳能动力/豪华四座设计 奇瑞GENE概念车首发
- 新动态:宁德时代和它的敌人们
- 天天观热点:ET5能成为蔚来的Model 3吗
- 前沿资讯!小米造车进行时 研发投入已高达33亿元
- 世界滚动:中国电信:控股股东40亿元增持计划实施完毕
- 当前简讯:B站大亏20亿,游戏疲软是主因?
- 【全球聚看点】龙争虎斗 双冠军!8月新能源轻卡环比增长58.28%
- 每日热议!国产车大量上榜,第二名已停产 | 8月新能源SUV保值榜
- 全球短讯!新能源江湖:哈弗走出舒适圈,“混动”造时势
- 快看:盐城联通顺利完成校园秋开保障工作
- 今头条!小鹏NGP开始试点,率先推送到广州部分P5用户
- 今日聚焦!售价168万元 极星6概念车中国首秀
- 世界球精选!续航最高达630km,合创 A06 电池及续航信息曝光
- 世界热讯:两种混合动力方式各有优势 绿牌轻卡你会怎么选?
- 世界聚焦:前七个月A级电动车销量占比近四成 市场结构改变在即
- 当前视点!2022WICV丨中汽研副总经理吴志新:产业变革驱动智能网联标准化向“新”发展
- 前沿资讯!中国电信:长沙火灾事故预计不会产生重大影响
- 【焦点热闻】E周看点丨理想总裁套现引关注;埃安发布首款纯电超跑
- 微资讯!8月终端销量TOP20:比亚迪车型占半壁江山 长安LUMIN首上榜
- 每日消息!8月销量分析|微/中面市场竞争进入白热化 头部拉开差距
- 环球热资讯!长城汽车:累计回购约1200.01万股,将用于股权激励计划
- 环球速看:连降终结!8月商用车销量同比增4% 福田无悬念摘冠 重汽回归前四
- 焦点讯息:一句话点评8月豪华车:豪华车8月份市场复苏了,ABB的电动化还用努力吗?
- 世界微速讯:蔚来换电站于匈牙利工厂下线
- 环球头条:程鹏:汽车产业革命的本质是能源和产品逻辑的变化
- 每日速读!售168万元,国内仅限10台!极星6中国市场开启预订
- 滚动:长城汽车揭秘柠檬混动DHT,可全场景智能切换动力模式
- 全球微头条丨轻舟智航亮相世界智能网联汽车大会
- 全球最新:首批“汽车网络安全联盟”成员单位 丨 盖世汽车
- 环球速读:定位bZ4X之下,与AION Y竞争?丰田全新SUV专利图曝光
- 每日简讯:车企“革命”网约车
- 当前消息!车费极速到账率提升至90% 嘀嗒顺风车车主接单体验再升级
- 【全球播资讯】雪佛兰全新科鲁泽正式上市 售价9.49万元起
- 环球新资讯:2022北美车展:雪佛兰发布Equinox EV
- 全球新消息丨奇瑞新能源发布会亮点多,新品牌ICONIC SPACE喆新工场带来全新改装体验
- 每日速讯:中国电信2022年云网路由交换设备集采:预估89569台
- 环球新动态:2022北美车展:全新一代福特Mustang全球首发
- 速读:2022北美车展:雪佛兰发布2024款Silverado EV
- 微动态丨宝马董事长预计德国会经济衰退 “宝马已经准备好了”
- 全球消息!2022北美车展:别克Wildcat EV概念车亮相
- 焦点热门:2022北美车展:福特F-150猛禽R正式发布
- 焦点消息!中汽协:2022年1-8月汽车制造业工业增加值较快增长
- 今头条!一汽专利可利用车辆识别罪犯并报警
- 头条焦点:保时捷IPO或包括9.11亿股股票 向其知名车型致敬
- 环球观天下!蜂巢能源,长城的下半场 | 电池战国时代
- 【全球热闻】公安部:今年1-8月新注册登记新能源汽车达322万辆 同比翻番
- 全球微头条丨吉利专利可解决蓄电池亏电问题 避免外部搭线补电
- 天天热消息:小鹏汽车销售公司注册资本增加至35亿元
- 世界热点!走进长城汽车柠檬混动DHT智慧工厂 探寻“全能”之源
- 天天快消息!比亚迪充电桩专利可通过授权充电
- 当前速讯:新能源车充电可“先充后付” 全国超120万个充电桩无需预存费
- 观天下!春风动力与赛轮思合作,引入对话式AI
- 天天信息:法雷奥携手CEA进行电力电子设备的开拓性研究
- 【独家】全速推进“全球化”战略,爱驰牵手新加坡头部服务机构Verge Auto
- 世界球精选!舍弗勒展示面向未来的卡车动力总成解决方案
- 每日看点!中国移动负载均衡器产品集采:新华三、迪普、神州新桥3家瓜分
- 焦点热讯:中国电信启动2022-2023年引入光缆集采:预估250万芯公里
- 环球最新:移动高品质宽带,服务你我,连接美好生活
- 精选!中国移动网络云资源池第三方软件集成服务集采:总预算2900万元
- 天天热推荐:中国移动扩展型皮站网管设备集采:中移物联网中标
- 全球热门:Algolux扩展Eos感知软件 解决ADAS和自动驾驶车辆深度限制
- 全球即时看!坤浪科技发布四款自主知识产权无人驾驶商用车
- 全球新资讯:Iljin Materials开发出具有高抗拉强度和延伸率的新型Elecfoil铜箔
- 【环球时快讯】SoundHound推出全套边缘和云连接解决方案 提高语音AI的准确性和隐私性
- 环球视点!瑞萨电子推出创新电感式位置传感器的参考设计目录
- 每日播报!Microchip推出PIC32CM JH微控制器 基于Arm® Cortex®-M0+架构打造
- 今日热文:陕西移动携手中兴通讯完成室内2.6G&700M时频双聚合商用验证
- 环球实时:抗击台风“梅花” 苏州移动全力保障通信畅通
- 今热点:天津移动携手中兴通讯完成首个5G VoNR语数分层网试点
- 环球观热点:南京电信多措并举打造科技型企业
- 最新资讯:泉州电信加强杆路作业安全管理
- 天天报道:智加科技完成国内首个33公里收费站到收费站开放交通流全路段自动驾驶试运营
- 世界球精选!美团打车接入腾讯出行 已在上海、杭州等城市合作
- 【世界报资讯】付斌|2022第四届中国汽车新供应链百强评委会成员
- 全球新资讯:理想汽车法务部:“零部件标准降低”一事系谣言