案例分享 | 某大型汽车企业的软件开发安全进阶之旅
2024-3-14 16:2:4 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

近日,国内新能源车企降价潮成为社会热议话题,新能源汽车产业在高速增长的同时,也面临越来越激烈的市场竞争。在“软件定义汽车”的时代,汽车工业正积极转向软件创新,汽车软件代码量与复杂度快速增长,与此同时,也引入了更多的安全风险和漏洞。

据研究机构Upstream发布的《2023年全球汽车行业网络安全报告》显示,在过去5年中,全球汽车行业因为网络攻击造成的损失超过5000亿美元,而近70%的汽车安全威胁都是由远距离的网络攻击行为引发的,仅仅是2021年到2023年全球公开发布的汽车网络安全事件就超过了1300多起。例如,丰田汽车旗下零部件制造商日本电装遭勒索软件攻击,造成日本国内所有丰田工厂临时停产;本田系列汽车被曝存在重大安全漏洞,黑客可远程解锁启动汽车。

图源:AI作图

软件与业务的深度融合,导致软件质量会直接影响业务连续性,一次业务中断可能会造成巨大损失,而开发安全则是保证软件安全的重要手段。根据CNVD的统计数据,目前绝大部分漏洞都发生在应用层面,而开发安全能够将大多数漏洞扼杀在摇篮当中。如何从根源上控制代码安全风险,保障软件开发安全,也成为了下面这家汽车企业亟需解决的课题。

01
复杂低效的开发安全流程现状

该企业为国内某大型汽车集团。开发迭代速度加快、软件供应链风险复杂等内外部环境变化给该企业带来了新的挑战。一方面,该企业研发模式由瀑布模型向敏捷化、DevOps持续演进,低代码/零代码、自助开发等在提升开发迭代效率的同时,也带来了爆发式API、组件复用复杂化等安全挑战;另一方面,软件供应链风险占比增加,地缘政治因素引发断供风险,开发安全亟需深入供应链管理。

基于以上背景与现状,该企业搭建了一套安全管控流程,通过E化流程加表单的方式来管理信息系统的开发安全,覆盖从需求定级到详细设计再到上线等阶段,形成了上线安全质量卡点。然而,实际运行中仍然存在诸多问题:一是流程未贯通,开发团队不知如何设计安全的产品,过程把控不足,没有形成知识库;二是开发缺乏赋能,安全检测工具、检测规则没有形成标准化,开发团队各自为战,检测结果差异大、效率低。

表单里的内容设计得比较复杂,检查项也很多,然后那些名词看起来非常生硬,对我们来说感觉不是很接地气,每次填的时候也都是一知半解,懵懵懂懂地来填。

——某项目经理

对于这个流程,说实话我有点头疼。第一,它太长,像个老太婆的裹脚布一样,又臭又长。第二,看不懂,等看懂了半个小时一个小时过去了,非常浪费我的时间。

——某研发负责人

检查表里有五六张表,每张表都有几十个检查项,如果全靠人工去核实,一个是时间精力的问题,项目前期的架构设计以及整体的安全管控,我们事实上是没有全程参与深入进去的;另一个是这种手动的更新对于安全管理的质量和效率来说,都是一种比较落后的方式,在实际过程中,也没有达到跟业务真正的协同对接以及同步安全问题。

——信息安全部门某员工

02
开发安全1.0迈向2.0,路在何方?

该企业基于原有的安全管控E化流程,以金融行业的先进经验和做法为参照,并依据软件开发安全国家标准,提出了开发安全建设从1.0提升到2.0的计划,涵盖体系建设、工作机制、工具应用、知识沉淀以及组织保障等多个方面。

该企业信息安全部门负责人表示,“集团将软件作为一项核心竞争力,安全为软件开发提供了重要保障,从而为企业数字化转型打下坚实的基础。”该负责人认为,在开发安全从1.0迈向2.0的过程中,应当从业务与安全两个方面共同打造未来的开发安全。短期来看,首先需要打造一个开发安全流程管理平台,将原有的安全管控流程平台化、自动化,然后以该管理平台为核心,在关键环节引入相应的工具,包括威胁建模、软件成分分析和安全测试工具。长期来看,希望把软件开发安全的流程和工具全部融入到软件开发平台中,一旦有安全事件产生,能够做到快速定位安全问题或组件漏洞,并第一时间进行修复,确保整个软件的出厂及运营的安全,从而更好地支撑业务的数字化转型和发展。

03
安全不掉线,业务稳向前

作为国内首批开辟开发安全业务的厂商,默安科技多年来深耕左移开发安全领域,具备业内领先的完整DevSecOps方案和丰富的落地经验积累。在经过谨慎的市场调研与产品选型后,该企业最终选择携手默安科技,共同建设开发安全流程体系。默安科技通过实际调研交流,针对该企业开发安全管控流程复杂低效的现状,打造了一套集工具化、平台化、自动化为一体的开发安全解决方案,协助该企业完善开发过程中的流程与规范,全面护航企业数字化转型之路。

该企业通过引入“工具+平台+服务”,即默安科技雳鉴STAC威胁建模分析系统、雳鉴IAST交互式应用安全检测系统、雳鉴SCA软件成分分析系统、雳鉴DSMP研发安全管理平台,将漏洞检测前置,从需求设计阶段就赋能开发者,降低安全开发门槛,全程自动化、方便、快捷,可以自助检测,精准、高效发现安全漏洞,帮助开发人员快速定位安全问题所在并进行修复,真正为企业做到降本增效。软件开发安全的工具化、平台化、自动化,也为该企业带来“使用无门槛、软件成分清、问题快定位、漏洞早发现”等多项业务价值,让软件“安全出生、健康成长”,助力该企业实现安全不掉线,业务稳向前。

戳下方视频
看默安如何助力汽车制造业的数字化安全转型
↓ ↓ ↓

目前,默安科技开发安全的专业化工具、平台及服务已经在金融、运营商、能源、政府、制造、交通、教育、医疗、IT,以及互联网等众多行业成功应用。未来,默安科技将不断强化产品技术创新与实践经验积累,帮助广大客户构筑并完善开发安全全流程体系,从源头管控软件安全风险,为数字化转型发展筑牢安全底座。


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzODQxMjM2NQ==&mid=2247498127&idx=1&sn=c5c28598fabbc471cc639d6e58022463&chksm=e93b0eadde4c87bbde4547f6150de874ff5982d03c6ba2fd1da8e73b6ae772fff055fec22b20&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh