汽车行业漏洞管理的关键要素

摘要汽车制造商正面临数字威胁的持续增长，这使得漏洞管理成为衡量网络安全水平的核心指标¹。这一重大挑战具有普遍性且并非新问题：所有完成数据和流程数字化的企业都经历了这一转变，并制定了应对软件漏洞的策略与方法。然而，汽车作为全面数字化转型的复杂实体，其漏洞管理具有独特性——首要原因在于供应链各环节需共同承担责任，以最大程度保障道路使用者的安全。本白皮书深入探讨汽车行业的漏洞管理，针对当前企业面临的三大核心挑战提出解决方案：软件物料清单（SBOM）质量、供应链信息流管理以及海量漏洞发现处理。文中阐述了如何通过创新方法提升流程效率与合规性，并展望了将漏洞管理纳入主动式安全监测体系的整体方案。 1.引言推动软件定义汽车（SDV）发展的多重因素，正使现代车辆面临日益广泛的网络攻击威胁：更复杂的技术栈集成、不断增加的连接选项、电子控制单元（ECU）的集中化，以及自动驾驶和高级驾驶辅助功能带来的额外复杂性等（仅列举部分因素）。随着法律要求的持续演进，未来软件定义汽车发展之路上，威胁态势将进一步加剧（如右图所示）。为此，整车厂（OEM）与供应商需构建覆盖车辆全生命周期的完善安全体系，以确保合规性，同时保护行车安全、数据隐私及整车功能。即使在当前环境下，网络安全措施的管理已颇具挑战，而未来其重要性将更加凸显。这些挑战既源于汽车行业的技术与组织特性，也来自相关法规的要求。1.1技术与组织背景从技术和组织角度来看，安全体系必须重点应对以下关键议题：联网系统漏洞具备网联功能的车辆容易通过无线通信系统遭受网络攻击。黑客可远程利用漏洞非法访问车辆关键系统，进而影响车辆运行、安全及数据安全。威胁加速演变漏洞数量正以更快速度增长，攻击者能力也因工具升级和攻击入口增加而持续提升。汽车企业必须跟上这种演变节奏。汽车网络安全深度解析我们在白皮书《全面揭示网络安全》中对快速演变的威胁态势进行了深入分析。 汽车行业漏洞管理的关键要素数据隐私保护现代车辆常收集包括驾驶习惯、位置信息在内的大量数据，防止这些数据被未授权访问对保护用户隐私至关重要。供应链风险汽车供应链涉及众多组件和软件供应商，每个环节都可能引入潜在安全隐患。软件更新风险虽然空中下载（OTA）软件更新便于快速部署，但若未采取足够安全措施，可能成为攻击入口。 近年来，汽车网络安全法规环境发生了重大变革。当前已形成多套监管框架，推动着汽车行业网络安全措施的制定与优先级划分。业界普遍将漏洞管理视为产品安全的核心要素。以下列举在建立漏洞管理体系时需考量的主要法规（具体适用性取决于产品类型和目标市场）：这些与漏洞管理相关的挑战看似具有普适性。毕竟，从小型手持设备到复杂的企业IT系统，所有数字化产品都面临着日益增长的漏洞威胁（如图2所示）。数十年来，应对这种情况已成为许多企业的日常业务。随着互联互通水平和跨平台应用的提升，行业间的界限已逐渐模糊。车辆已从机械化的独立运输工具，转变为与现实世界多种实体交互的联网驾驶计算机，常被称为"带轮子的智能手机”²。事实上，现代软件定义汽车与智能手机有许多共同点：安卓信息娱乐系统、第三方应用、WLAN、LTE、蓝牙、NFC、云端固件更新等。然而，车辆是独特的系统。它们具有特定的硬件和软件组件，以及适应复杂机械实体需求的IT架构。现代汽车包含约50至150个电子控制单元(ECU)，这为黑客提供了庞大而危险的攻击面。由于大多数ECU都集成了微控制器/微处理器、存储器、传感器接口和通信模块，漏洞可能出现在硬件或固件的多个环节。1.2法规环境UN R155法规要求整车制造商实施网络安全管理系统（CSMS），在车辆设计、生产及运营全阶段识别、评估和缓解网络安全风险。ISO/SAE 21434标准全球性汽车网络安全标准，为车辆从概念设计到报废的全生命周期提供风险识别、评估和处置框架。UN R156法规聚焦软件更新管理，要求制造商建立软件更新管理系统（SUMS）。随着各地区新法规持续出台，整车厂与供应商必须保持全供应链组件和流程的合规性，实施动态化安全监控与管理。 汽车行业漏洞管理的关键要素更重要的是，许多ECU能直接影响车辆的物理运行特性。因此，与消费电子产品相比，安全事件导致的故障可能造成更严重的后果——道路使用者可能面临风险。汽车行业需要既能应对共性又能解决个性问题的、面向未来的高效漏洞管理方案。企业既可采用ETAS等专家的汽车专用工具，也可借鉴跨行业的最佳实践。当其他领域已有成熟解决方案或可高效利用协同效应时，无需重复造轮子。GB 44495-2024中国2024年8月实施的网络安全指南，监管范围与UNR155类似。欧盟网络弹性法案（CRA）欧洲议会立法，强化包括特定车型在内的数字产品网络安全，要求将安全能力嵌入产品设计、生产及生命周期管理全流程。印度AIS-189标准印度汽车行业标准委员会（AISC）发布的草案AIS-189对网络安全及网络安全管理系统（CSMS）进行了规范。 4 让我们从数字化产品生命周期的起点——软件物料清单(SBOM的编制开始探讨，这直接决定了后续漏洞管理的效能。在某些地区，SBOM已成为多类汽车产品的强制要求，凸显其在车辆风险管理中的重要性。虽然在标准和实施方面已有良好实践，但在实际操作中，汽车制造商及其供应商往往难以保证SBOM的质量。现有的SBOM通常存在细节不足、质量问题（如CPE等唯一标识符错误或缺失），或者未能遵循支持高效漏洞识别与管理的现有标准（如不符合CycloneDX³或SPDX⁴）。这导致第三方和开源组件缺乏可见性和透明度，在尝试识别和修复漏洞时带来网络安全挑战。这就引出了一个问题：为何这个问题在汽车行业如此普遍且难以解决？通过分析复杂的供应链，我们可以找到答案。一辆汽车由来自不同供应商和次级供应商的数百个组件构成，其中大多数都开发自己的专有软件。供应商和客户双方都面临各自的挑战，导致许多行业参与者对现状并不满意。从零部件供应商的角度来看，其面临的主要困境源于其专有代码库的特性——这些代码库往往历经多个车型年周期和项目迭代逐步积累而成。与CentOS AutoSD Linux发行版等成熟的开源生态系统（其组件通常可通过包管理器中的包名称识别）不同，专有组件通常缺乏标准化、通用且机器可读的唯一标识符。在缺乏包管理机制且开发历史悠久的深度嵌入式代码库中，有时甚至难以确定代码文件所属的具体组件，更无法明确判断代码库是否包含特定子组件。此外，SBOM具有层级化特征——组件或子组件的抽象层级取决于漏洞报告的粒度，因此应当由零部件制造商明确定义。总体而言，在汽车行业创建SBOM通常需要大量手工、行政性、且易出错的工作，包括组件清单编制、与SBOM使用方或2.漏洞管理的关键要素当前汽车行业在漏洞管理领域面临三大核心挑战：软件物料清单（SBOM）质量、供应链漏洞信息流管理，以及海量漏洞发现的处置。这三者的共同点在于，整车厂商和供应商都需要（进一步）开发创新方法以保持管理效能。2.1软件物料清单（SBOM）质量 汽车行业漏洞管理的关键要素5下级供应商共同定义标识符，以及将这些信息转换为机器可读的SBOM格式。在其他领域，这一问题通常通过将扫描工具集成至CI/CD流水线来解决——这些工具可扫描代码仓库或生成产物，使开发者即使在软件组件数量持续增加、发布周期不断加快的情况下，仍能维护最新的组件清单。然而，对闭源组件实施源码扫描往往不可行：即使存在部分源代码，扫描可能被禁止或因文件缺失而效果有限。虽然二进制扫描对开源组件非常有效且应用广泛，但同样存在局限性。现有扫描工具多源自其他行业，通常无法识别汽车专用软件组件（如AUTOSAR组件），导致生成的SBOM在汽车应用场景中不完整且不可靠。目前工具供应商正积极弥补这一扫描缺口，例如ETAS与ONEKEY合作，通过在其扫描工具中增加对嵌入式AUTOSAR组件的支持来解决该问题。另一方面，客户（包括整车厂和各级供应商）需要面对的，是处于软件物料清单（SBOM）成熟度不同阶段的供应商。并非所有供应商都具备提供高质量SBOM的能力——即便提供了SBOM，也可能无法有效支持客户端的漏洞管理。不同供应商对同一组件的标识可能不一致，且专有组件、第三方组件乃至开源组件可能存在遗漏，即便漏洞管理责任明确归属于客户。此外，客户在缺乏独立验证的情况下，往往难以对SBOM质量建立充分信心。此时二进制扫描技术展现出独特价值，该技术允许客户直接从供应商交付范围内的固件文件生成SBOM，从而提供了一条可行的解决路径。总体而言，在汽车行业独立创建高质量SBOM虽需恰当的方法与工具支持，但确实是可行的。然而要实现最高效率，离不开产业链各方的协同合作——这也正是汽车行业面临的显著挑战：需要协调为不同制造商提供软件产品的数百家供应商形成统一标准。我们ETAS始终致力于推动整车厂商、 供应商在交付软件及每次更新时，同步提供完整详尽的SBOM（或至少包含生成SBOM条目所需的信息），其中必须含有唯一标识符（如PURL、CPE等）。美国商务部与NTIA⁵定义的最低要素要求（通常包括制造商信息、许可证、版本说明和联系信息）可作为基础标准。SBOM实施建议:-实现SBOM自动化生成-采用标准化格式（如CycloneDX或SPDX）-使用二进制扫描工具进行SBOM质量验证-产品组件更新时同步维护SBOM2.2供应链中的漏洞信息流转汽车供应链中的漏洞信息主要通过两种方式传递：第一种是将漏洞上报至公共数据库，制造商需要主动频繁地查询其产品所用组件在这些数据库中的漏洞记录。但目前并不存在包含所有公开漏洞的中央数据库，实际使用的是多个分散的数据库，例如应用最广泛的美国国家标准与技术研究院（NIST）的国家漏洞数据库（NVD），以及GitHub安全通告数据库等其他数据库；然而，并非所有漏洞都会被直接上报，有时甚至完全不会录入公共数据库。第二种是直接定向通报，即供应商通过保密渠道将漏洞信息直接分享给相关客户，使其能在漏洞公开前完成修复，这在汽车行业尤为重要，因为涉及安全性的更新可能需要监管审批，不支持无线固件升级（FOTA）的车辆需要进厂安装更新。 汽车行业漏洞管理的关键要素6我们进一步建议：所有供应商应为作为产品销售的软件和组件定义并提供清晰、唯一且机器可读的标识符（如PURL、CPE等）。这将确保SBOM生产方与使用方能维护统一的组件清单，使同一组件在不同产品中始终保持公认的唯一标识。-向客户提供SBOM信息-为自研软件组件配置机器可读的唯一标识符-要求上游供应商提供SBOM信息-通过渗透测试或紫队演练验证SBOM生成与处理流程而硬件漏洞甚至可能需要更换硬件才能解决，但这种方法并不能替代快速漏洞管理的需求，因为攻击者仍可能发现漏洞或获取机密漏洞信息，只是由于漏洞尚未公开而降低了这种可能性。为加速漏洞处理的自动化进程，ETAS倡导采用机器可读的漏洞交换格式（如通用安全公告框架CSAF⁶），以确保供应链各方的高效协同。为进一步优化供应链漏洞管理流程，建议在物料清单（BOM）中增加漏洞通信渠道的引用标识（例如CSAF）。对于CycloneDX或SPDX格式，可通过组件的"advisory"类外部引用链接实现。此外，我们建议供应链成员开展联合行动：通过模拟关键漏洞发现场景，定期执行全面的"网络安全消防演练"，以提升漏洞管理应急能力。 2.3海量漏洞发现的管理基于物料清单(BOM)和供应链信息，我们可以对已知漏洞实施扫描。集中式SDV（软件定义车辆）电子控制单元(ECU)面临的一个典型挑战是漏洞数量庞大——特别是在采用大量开源组件的现代SDV中，单个ECU的漏洞扫描结果可能轻松达到数千个。然而，并非所有漏洞都具有相同的严重性或可操作性。在高效的漏洞管理过程中，准确区分漏洞优先级至关重要——快速响应机制能够以恰当的紧急程度降低风险，特别是当涉及潜在安全损害时，这对避免安全事故尤为关键。为实现项目特定的优先级划分，必须将漏洞发现置于具体项目背景下进行综合分析。在汽车领域，诸如ISO/SAE 21434等多项安全相关法规都要求进行威胁分析与风险评估（TARA）。