界面新聞記者 | 劉澤然
為了防范網絡攻擊并迅速應對與汽車控制相關的軟件漏洞,由豐田、馬自達等116家企業組成的日本行業團體Japan Automotive ISAC(J-Auto-ISAC)正計劃在2025年統一制定“軟件物料清單”(SBOM)規則。
新規將幫助日本公司全面記錄車載軟件中的程序名稱和供應方等關鍵信息,并與美國的相關組織合作,力圖建立國際性的統一標準。
SBOM(軟件物料清單)為汽車行業提供了一個詳盡的列表,詳細記錄了軟件產品中所有組件的信息。對于加入的公司而言,無論該公司使用的軟件是開源抑或是封閉,均將受益于標準的統一。
這種列表類似于產品的“成分表”,使制造商能夠透明地查看和管理軟件中使用的所有第三方組件等信息。當廣泛使用的軟件中發現潛在的安全漏洞時,這種統一的清單使企業能夠迅速核查其產品是否受影響,從而高效地識別和應對安全威脅。
隨著車載信息系統,特別是強調互聯能力車機系統的迅速發展,數據泄露以及與車相關的網絡攻擊問題開始頻頻出現。例如,豐田近期的一起數據泄露事件,盡管與汽車直接功能無關,但卻引發了對未來更多具備互聯網連接能力的豐田汽車潛在安全威脅的廣泛擔憂。
在這次事件中,黑客組織聲稱已經侵入豐田的美國分支服務器,竊取了員工和客戶數據、合同和財務信息以及包括憑證在內的網絡基礎設施信息。豐田公司否認其系統直接被攻破,公司發言人稱被黑的數據“似乎與被誤認為是豐田的第三方實體有關”。
豐田在過去幾年已經數次遭遇信息泄露危機,從2023年年底豐田德國金融服務分部被黑,到2022年10月在GitHub上的訪問密鑰泄露導致多達30萬客戶的數據被盜,再到2022年3月在日本所有工廠的制造業務因一次網絡攻擊而被迫停產等。
為應對這些挑戰,J-Auto-ISAC已經通過技術委員會制定了統一的SBOM規則方案,這將有助于日本汽車行業在保護車輛安全方面采取統一行動。考慮到單獨開發過于復雜的軟件本身就意味著高昂的開發成本,結合可能被黑客逐個攻破的相關隱患,出于包括但不限于安全和降本等目的,SBOM通用化也將成為日本汽車公司未來軟件開發的主流。
另一方面,北美的汽車行業團體“AUTO-ISAC”也在推動制定全行業的SBOM統一規則,日本的J-Auto-ISAC已開始與其進行協商。歐洲汽車公司如梅賽德斯-奔馳等也加入了AUTO-ISAC,推動這一規則成為國際標準。
此外,日本經濟產業省已通過相關計劃,旨在通過提供財政支持以及與大學合作和開展技能再培訓課程,以加速智能汽車的推廣。政府設定的目標是到2030年,日本公司將占據軟件定義汽車市場的30%,預計全球銷量將達到3500萬至4100萬輛。
相關消息顯示,此前6月,日本經濟產業省通過了相關計劃,通過提供財政支持,同時與大學合作及開展再技能培訓課程來培養IT工程師等工作人員的方式加速智能汽車的普及。政府部門還希望建立一個生態系統,讓更多汽車公司能夠共享數據并從售后服務中獲利。
目前,由于車輛安全和娛樂系統上云的進度遲緩,日本汽車公司在這一領域被認為落后于中國和美國的競爭對手。