在汽车软件供应链中管理软件风险

汽车软件组件的复杂性及其风险管理

关键要点

在现代汽车中，大多数软件组件并非由汽车制造商或其顶级供应商直接开发，而是来自多个供应商。这些软件包括嵌入式图形用户界面框架、中间件、操作系统、导航和通讯软件等，涵盖范围广泛。

这些源自不同供应商的软件组件通常集成在仪表盘的信息娱乐系统中，或者用于车辆内部的嵌入式系统如传感器。日益增加的复杂性和互操作性促使供应商之间建立了软件协作网络，形成了类似福特与谷歌、通用汽车与莱夫特等合作伙伴关系。

由于汽车软件组件来自众多不同的供应商，大部分都含有开源软件。在如今的环境中，开源已成为不可避免的现实。例如，Android这一广受欢迎的汽车主机平台建立在Linux之上。此外，Genivi联盟和汽车级Linux等开源平台专注于汽车应用。

根据2018年的数据，汽车软件堆栈中开源成分的比例约在5070之间。2021年的另一个报告则将这一比例估算为66。

利用开源软件的生产力优势显而易见。开源软件通常提供良好的质量和显著的好处，特别是在整体子系统的使用中。然而，由于软件的来源不同，安全性和质量也各有差异。安全专家常常不能确定被重用的组件是否安全且质量可靠，因此必须采取措施来减轻这种风险。

缺乏更新的开源组件或包含漏洞的组件已成为汽车制造商面临的挑战。尽管某些情况下漏洞已被识别并修补，但车辆中使用的组件可能尚未进行更新。

开源组件的隐藏依赖性也是一个关键的安全隐患。开源软件通常依赖于其他依赖项才能正常运行，而这些依赖增加了安全风险的范围。有些依赖项未被记录，或者如果用于专有软件中，则可能完全隐藏。

最后，许可问题也为汽车软件带来了潜在的法律风险。开源软件在商业产品中并非总是可以自由使用，甚至如果可以再次分发，也可能需要满足安全团队的法律要求。包含第三方软件的设备在重新发布时可能涉及使用的所有源代码或二进制代码的独特情况。如果管理不当，可能会导致重大的法律风险。

管理开源软件的风险

就像材料清单(BOM)帮助管理汽车生产中的物理库存一样，管理采购软件的质量与安全同样需要从软件物料清单(SBOM)开始SBOM。

实施软件供应链风险管理计划并使用SBOM可以提高最终产品的安全性。对于汽车软件开发而言，这一做法有助于遵循行业安全与合规要求。SBOM管理为制造商提供以下好处：

通过自动化软件供应链安全，组织可以深入了解购买和部署的产品，以支持项目目标。团队需要SBOM以及详细的漏洞信息，以真正理解用于车辆的现

• • 2025-11-13 19:21:04
  • 2