界面新聞記者 | 劉澤然
為了防范網(wǎng)絡攻擊并迅速應對與汽車控制相關的軟件漏洞,由豐田、馬自達等116家企業(yè)組成的日本行業(yè)團體Japan Automotive ISAC(J-Auto-ISAC)正計劃在2025年統(tǒng)一制定“軟件物料清單”(SBOM)規(guī)則。
新規(guī)將幫助日本公司全面記錄車載軟件中的程序名稱和供應方等關鍵信息,并與美國的相關組織合作,力圖建立國際性的統(tǒng)一標準。
SBOM(軟件物料清單)為汽車行業(yè)提供了一個詳盡的列表,詳細記錄了軟件產品中所有組件的信息。對于加入的公司而言,無論該公司使用的軟件是開源抑或是封閉,均將受益于標準的統(tǒng)一。
這種列表類似于產品的“成分表”,使制造商能夠透明地查看和管理軟件中使用的所有第三方組件等信息。當廣泛使用的軟件中發(fā)現(xiàn)潛在的安全漏洞時,這種統(tǒng)一的清單使企業(yè)能夠迅速核查其產品是否受影響,從而高效地識別和應對安全威脅。
隨著車載信息系統(tǒng),特別是強調互聯(lián)能力車機系統(tǒng)的迅速發(fā)展,數(shù)據(jù)泄露以及與車相關的網(wǎng)絡攻擊問題開始頻頻出現(xiàn)。例如,豐田近期的一起數(shù)據(jù)泄露事件,盡管與汽車直接功能無關,但卻引發(fā)了對未來更多具備互聯(lián)網(wǎng)連接能力的豐田汽車潛在安全威脅的廣泛擔憂。
在這次事件中,黑客組織聲稱已經侵入豐田的美國分支服務器,竊取了員工和客戶數(shù)據(jù)、合同和財務信息以及包括憑證在內的網(wǎng)絡基礎設施信息。豐田公司否認其系統(tǒng)直接被攻破,公司發(fā)言人稱被黑的數(shù)據(jù)“似乎與被誤認為是豐田的第三方實體有關”。
豐田在過去幾年已經數(shù)次遭遇信息泄露危機,從2023年年底豐田德國金融服務分部被黑,到2022年10月在GitHub上的訪問密鑰泄露導致多達30萬客戶的數(shù)據(jù)被盜,再到2022年3月在日本所有工廠的制造業(yè)務因一次網(wǎng)絡攻擊而被迫停產等。
為應對這些挑戰(zhàn),J-Auto-ISAC已經通過技術委員會制定了統(tǒng)一的SBOM規(guī)則方案,這將有助于日本汽車行業(yè)在保護車輛安全方面采取統(tǒng)一行動??紤]到單獨開發(fā)過于復雜的軟件本身就意味著高昂的開發(fā)成本,結合可能被黑客逐個攻破的相關隱患,出于包括但不限于安全和降本等目的,SBOM通用化也將成為日本汽車公司未來軟件開發(fā)的主流。
另一方面,北美的汽車行業(yè)團體“AUTO-ISAC”也在推動制定全行業(yè)的SBOM統(tǒng)一規(guī)則,日本的J-Auto-ISAC已開始與其進行協(xié)商。歐洲汽車公司如梅賽德斯-奔馳等也加入了AUTO-ISAC,推動這一規(guī)則成為國際標準。
此外,日本經濟產業(yè)省已通過相關計劃,旨在通過提供財政支持以及與大學合作和開展技能再培訓課程,以加速智能汽車的推廣。政府設定的目標是到2030年,日本公司將占據(jù)軟件定義汽車市場的30%,預計全球銷量將達到3500萬至4100萬輛。
相關消息顯示,此前6月,日本經濟產業(yè)省通過了相關計劃,通過提供財政支持,同時與大學合作及開展再技能培訓課程來培養(yǎng)IT工程師等工作人員的方式加速智能汽車的普及。政府部門還希望建立一個生態(tài)系統(tǒng),讓更多汽車公司能夠共享數(shù)據(jù)并從售后服務中獲利。
目前,由于車輛安全和娛樂系統(tǒng)上云的進度遲緩,日本汽車公司在這一領域被認為落后于中國和美國的競爭對手。