界面新闻记者 |
为了防范网络攻击并迅速应对与汽车控制相关的软件漏洞,由丰田、马自达等116家企业组成的日本行业团体Japan Automotive ISAC(J-Auto-ISAC)正计划在2025年统一制定“软件物料清单”(SBOM)规则。
新规将帮助日本公司全面记录车载软件中的程序名称和供应方等关键信息,并与美国的相关组织合作,力图建立国际性的统一标准。
SBOM(软件物料清单)为汽车行业提供了一个详尽的列表,详细记录了软件产品中所有组件的信息。对于加入的公司而言,无论该公司使用的软件是开源抑或是封闭,均将受益于标准的统一。
这种列表类似于产品的“成分表”,使制造商能够透明地查看和管理软件中使用的所有第三方组件等信息。当广泛使用的软件中发现潜在的安全漏洞时,这种统一的清单使企业能够迅速核查其产品是否受影响,从而高效地识别和应对安全威胁。
随着车载信息系统,特别是强调互联能力车机系统的迅速发展,数据泄露以及与车相关的网络攻击问题开始频频出现。例如,丰田近期的一起数据泄露事件,尽管与汽车直接功能无关,但却引发了对未来更多具备互联网连接能力的丰田汽车潜在安全威胁的广泛担忧。
在这次事件中,黑客组织声称已经侵入丰田的美国分支服务器,窃取了员工和客户数据、合同和财务信息以及包括凭证在内的网络基础设施信息。丰田公司否认其系统直接被攻破,公司发言人称被黑的数据“似乎与被误认为是丰田的第三方实体有关”。
丰田在过去几年已经数次遭遇信息泄露危机,从2023年年底丰田德国金融服务分部被黑,到2022年10月在GitHub上的访问密钥泄露导致多达30万客户的数据被盗,再到2022年3月在日本所有工厂的制造业务因一次网络攻击而被迫停产等。
为应对这些挑战,J-Auto-ISAC已经通过技术委员会制定了统一的SBOM规则方案,这将有助于日本汽车行业在保护车辆安全方面采取统一行动。考虑到单独开发过于复杂的软件本身就意味着高昂的开发成本,结合可能被黑客逐个攻破的相关隐患,出于包括但不限于安全和降本等目的,SBOM通用化也将成为日本汽车公司未来软件开发的主流。
另一方面,北美的汽车行业团体“AUTO-ISAC”也在推动制定全行业的SBOM统一规则,日本的J-Auto-ISAC已开始与其进行协商。欧洲汽车公司如梅赛德斯-奔驰等也加入了AUTO-ISAC,推动这一规则成为国际标准。
此外,日本经济产业省已通过相关计划,旨在通过提供财政支持以及与大学合作和开展技能再培训课程,以加速智能汽车的推广。政府设定的目标是到2030年,日本公司将占据软件定义汽车市场的30%,预计全球销量将达到3500万至4100万辆。
相关消息显示,此前6月,日本经济产业省通过了相关计划,通过提供财政支持,同时与大学合作及开展再技能培训课程来培养IT工程师等工作人员的方式加速智能汽车的普及。政府部门还希望建立一个生态系统,让更多汽车公司能够共享数据并从售后服务中获利。
目前,由于车辆安全和娱乐系统上云的进度迟缓,日本汽车公司在这一领域被认为落后于中国和美国的竞争对手。
评论