界面新聞記者 | 劉澤然
為了防范網(wǎng)絡(luò)攻擊并迅速應(yīng)對與汽車控制相關(guān)的軟件漏洞,由豐田、馬自達(dá)等116家企業(yè)組成的日本行業(yè)團(tuán)體Japan Automotive ISAC(J-Auto-ISAC)正計劃在2025年統(tǒng)一制定“軟件物料清單”(SBOM)規(guī)則。
新規(guī)將幫助日本公司全面記錄車載軟件中的程序名稱和供應(yīng)方等關(guān)鍵信息,并與美國的相關(guān)組織合作,力圖建立國際性的統(tǒng)一標(biāo)準(zhǔn)。
SBOM(軟件物料清單)為汽車行業(yè)提供了一個詳盡的列表,詳細(xì)記錄了軟件產(chǎn)品中所有組件的信息。對于加入的公司而言,無論該公司使用的軟件是開源抑或是封閉,均將受益于標(biāo)準(zhǔn)的統(tǒng)一。
這種列表類似于產(chǎn)品的“成分表”,使制造商能夠透明地查看和管理軟件中使用的所有第三方組件等信息。當(dāng)廣泛使用的軟件中發(fā)現(xiàn)潛在的安全漏洞時,這種統(tǒng)一的清單使企業(yè)能夠迅速核查其產(chǎn)品是否受影響,從而高效地識別和應(yīng)對安全威脅。
隨著車載信息系統(tǒng),特別是強(qiáng)調(diào)互聯(lián)能力車機(jī)系統(tǒng)的迅速發(fā)展,數(shù)據(jù)泄露以及與車相關(guān)的網(wǎng)絡(luò)攻擊問題開始頻頻出現(xiàn)。例如,豐田近期的一起數(shù)據(jù)泄露事件,盡管與汽車直接功能無關(guān),但卻引發(fā)了對未來更多具備互聯(lián)網(wǎng)連接能力的豐田汽車潛在安全威脅的廣泛擔(dān)憂。
在這次事件中,黑客組織聲稱已經(jīng)侵入豐田的美國分支服務(wù)器,竊取了員工和客戶數(shù)據(jù)、合同和財務(wù)信息以及包括憑證在內(nèi)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施信息。豐田公司否認(rèn)其系統(tǒng)直接被攻破,公司發(fā)言人稱被黑的數(shù)據(jù)“似乎與被誤認(rèn)為是豐田的第三方實(shí)體有關(guān)”。
豐田在過去幾年已經(jīng)數(shù)次遭遇信息泄露危機(jī),從2023年年底豐田德國金融服務(wù)分部被黑,到2022年10月在GitHub上的訪問密鑰泄露導(dǎo)致多達(dá)30萬客戶的數(shù)據(jù)被盜,再到2022年3月在日本所有工廠的制造業(yè)務(wù)因一次網(wǎng)絡(luò)攻擊而被迫停產(chǎn)等。
為應(yīng)對這些挑戰(zhàn),J-Auto-ISAC已經(jīng)通過技術(shù)委員會制定了統(tǒng)一的SBOM規(guī)則方案,這將有助于日本汽車行業(yè)在保護(hù)車輛安全方面采取統(tǒng)一行動??紤]到單獨(dú)開發(fā)過于復(fù)雜的軟件本身就意味著高昂的開發(fā)成本,結(jié)合可能被黑客逐個攻破的相關(guān)隱患,出于包括但不限于安全和降本等目的,SBOM通用化也將成為日本汽車公司未來軟件開發(fā)的主流。
另一方面,北美的汽車行業(yè)團(tuán)體“AUTO-ISAC”也在推動制定全行業(yè)的SBOM統(tǒng)一規(guī)則,日本的J-Auto-ISAC已開始與其進(jìn)行協(xié)商。歐洲汽車公司如梅賽德斯-奔馳等也加入了AUTO-ISAC,推動這一規(guī)則成為國際標(biāo)準(zhǔn)。
此外,日本經(jīng)濟(jì)產(chǎn)業(yè)省已通過相關(guān)計劃,旨在通過提供財政支持以及與大學(xué)合作和開展技能再培訓(xùn)課程,以加速智能汽車的推廣。政府設(shè)定的目標(biāo)是到2030年,日本公司將占據(jù)軟件定義汽車市場的30%,預(yù)計全球銷量將達(dá)到3500萬至4100萬輛。
相關(guān)消息顯示,此前6月,日本經(jīng)濟(jì)產(chǎn)業(yè)省通過了相關(guān)計劃,通過提供財政支持,同時與大學(xué)合作及開展再技能培訓(xùn)課程來培養(yǎng)IT工程師等工作人員的方式加速智能汽車的普及。政府部門還希望建立一個生態(tài)系統(tǒng),讓更多汽車公司能夠共享數(shù)據(jù)并從售后服務(wù)中獲利。
目前,由于車輛安全和娛樂系統(tǒng)上云的進(jìn)度遲緩,日本汽車公司在這一領(lǐng)域被認(rèn)為落后于中國和美國的競爭對手。