作者：新思科技軟體質量與安全部⾨⾼級安全架構師楊國樑

不要將網絡安全放在⾞輛⽣命週期的次要位置。ISO/SAE 21434標準已正式發布，將網路安全納入道路⾞輛設計的全⽣命週期。新思科技將通過本文為汽⾞廠商提供⼀些建議，為符合該新標準做好準備，在汽⾞產品開發和整個⽣命週期中提升安全性。

全世界都在對智能網聯汽⾞翹⾸以盼。

但同時，近年來針對聯網汽⾞的攻擊⼤幅增加。因此，各國監管機構已開始採取各種舉措，以解決聯網汽⾞數據安全中⽇益嚴重的漏洞問題。例如，即剛發布的ISO/SAE 21434標準，將網路安全貫穿⾞輛設計整個⽣命週期。

ISO/SAE 21434標準主要涵蓋安全管理、基於項⽬的網路安全管理、持續的網絡安全活動、相關風險評估⽅法、以及道路⾞輛概念驗證階段，產品開發階段和開發完成後階段的網絡安全。

新思科技了解到不論OEM、⼀級供應商或其他供應商，⽬前很有可能只是把網路安全順帶放在系統的其他功能與特性的開發過程中⼀起做。為了有能⼒落實ISO/SAE 21434標準，您需要在以下的⼯作內容和組織流程上做好準備：

開啟網路安全計劃
縝密的網絡安全計劃可以追蹤網絡安全活動及其進度。該計劃必須明確網絡安全活動的目標，在完成該⽬標的過程中有任何的前置條件或依賴關係，都需要有明確的責任⽅、資源需求及相關的時間表。

了解ISO/SAE 21434標準帶來的影響
對於ISO/SAE 21434標準的每個主要條款，企業必須量⾝定制其網路安全活動，並不斷改進其規範和驗證⽅法。這包括從宏觀層⾯的治理模型（例如提供培訓計劃和提升安全意識），⼀直到微觀層⾯的具體規範技術部件規格等所有內容。您的流程、步驟和文檔必須達到ISO/SAE 21434網絡安全計劃活動標準，才能達到法規要求和獨立的網路安全審核。

定義網路安全保證等級
網路安全保證等級的提升需要循序漸進，但是可以將不同的等級結合起來以實現特定的任務。網路安全 保證等級的數量將取決於您的網路安全計劃，但是不同等級之間必須有清晰的界限，並且必須指定關聯 的⽬標。

使⽤測試⼯具應對技術及合規挑戰
新思科技的⼯具和服務能夠將軟件測試集成到開發⼯作流程中，著重針對合規性⽬標進⾏分析和修正，並根據特定的軟件標准出具報告。新思科技靜態應⽤安全測試⼯具Coverity便是其中⼀款產品。

近⽇，憑藉Coverity的速度、易⽤性、準確性、⾏業標準合規性及可擴展性，新思科技在眾多同類廠商  中脫穎⽽出，在中國汽⾞網路安全周榮獲⼤會頒發的“AutoSec安全之星”年度傑出安全測試⼯具供應商獎項。中國汽⾞網路安全周是中國⼤規模的無⼈駕駛及汽⾞網絡安全⾏業峰會。Coverity可以幫助開發和安全團隊在軟體開發⽣命週期的早期解決安全和質量缺陷，並幫助企業實現合規性⽬標：
- 幫助企業對問題的歸類。
- 幫助確定開發團隊⼯作的優先排序。
- ⾃動識別關鍵問題並提供相應的修復建議。
- ⽣成報告以滿⾜合規審計。
- 幫助安全團隊了解安全漏洞的嚴重性以及對企業的風險級別。

點擊 這裡 詳細了解在智能網聯汽⾞中如何構建軟體安全。