今日汽車供應鏈最大的挑戰之一，就是如何掌握自家產品可能存在的漏洞並迅速因應。有些車輛擁有許多電子控制單元(ECU)，有些則包含多種不同的元件，不論是汽車製造商(OEM)或一級(Tier-1)供應商都面臨著一項艱難的挑戰，那就是戰線很長又必須能及時掌握其廣大受攻擊面的狀況。

而與這項挑戰直球對決的關鍵就在於擁有一套全方位的網路安全策略。一套能涵蓋車輛完整生命週期、並要能提供充分的車輛與其ECU可視性資訊的軟體及漏洞管理，是明日汽車不可或缺的要素。

以下的市場趨勢恰好印證了網路安全對未來汽車供應鏈有多麼重要。

聯網汽車越來越多

軟體定義汽車、軟體式元件，以及更常採用開放式系統。現代汽車使用了更多開放式作業系統與開放原始碼軟體。汽車的聯網能力越好，可傳輸的資料就越多，企業必須學會如何保護這些資料。

符合供應鏈法規

為了符合像UN Regulation No.155(UN R155)與ISO/SAE 21434這樣的網路安全法規，現代汽車及其元件都必須通過法規所訂定的標準。值得注意的是，汽車製造商通常會要求其供應商也符合ISO/SAE 21434法規。這就需要透過軟體物料清單(SBOM)來掌握韌體當中所用到的開放原始碼元件。

網路威脅。暴露於網路威脅，是汽車聯網能力提升之後，不論車輛本身或供應鏈都必須面對的兩難問題之一。汽車產業的聯網程度越高，就越容易成為網路犯罪活動瞄準的高價值目標，而網路資安事件又將進一步損害汽車製造商的商譽。

聯網汽車供應鏈挑戰

簡單來說，不論車廠、供應商或是供應鏈上相關廠商，未來都必須面對數量龐大的聯網汽車及元件。儘管這樣的改變意味著成長，但也讓資安漏洞進一步擴大，其接踵而來的挑戰包括：

車輛含有太多電子控制單元

目前一輛聯網汽車平均約含有60至70個ECU，這對汽車製造商來說相當不易管理。

ECU使用太多開放原始碼軟體

就ECU當中使用的開放原始碼軟體數量來看，漏洞評估與排序的判斷對供應商來說將是個頭痛問題。在汽車產業，供應商向來只須確保自己的產品能正常運作， 無須操心網路安全層面的問題。然而，聯網汽車的問世迫使廠商必須拋棄這項思維。

SBOM管理的必要性

汽車製造商和供應商若要妥善管理ECU當中的開放原始碼軟體，SBOM管理將是一項關鍵的資安需求。更重要的是，良好的SBOM管理也有助於追蹤過時或含有漏洞的電子元件。

面對新漏洞出現的殘酷現實

漏洞是汽車產業一項無法改變的殘酷現實。隨著聯網汽車日益普及，汽車製造商與供應商必須隨時監控是否有新的漏洞出現，一旦有新的漏洞被發現並揭露，汽車製造商和供應商都必須竭盡所能釐清漏洞對車輛或ECU的衝擊和影響範圍，接下來必須提出一套行動計畫回應漏洞處理。

遵守開放原始碼授權規範

當開放原始碼元件是以獨立軟體方式存在，或者內含在專屬軟體當中時，一個很重要的步驟就是廠商要確實遵守並符合其相關的授權規定，然而這需要花費大量的時間來整理出每一套開放原始碼軟體的授權條件。

圖1 xZETA協助汽車製造商與供應商處理漏洞問題

網路安全解決方案

面對當前的障礙，汽車製造商和一級供應商需要一套能協助降低軟體定義汽車(SDV)與軟體式元件(如ECU)風險的網路安全解決方案。

廠商如VicOne的網路安全解決方案xZETA，可讓車廠掃描廠商的韌體，透過靜態及動態分析找出漏洞與潛在的惡意行為。以下詳細說明其功能如何協助汽車製造商與供應商解決上述挑戰：

融入車輛完整生命週期

從聯網汽車的開發到生產後階段(Post- Production Phases)，xZETA都能偵測/識別其中的威脅。

協助管理多款車輛與ECU

對於汽車製造商來說，xZETA可協助管理多款車輛與ECU韌體，並提供集中化可視性以方便管理漏洞。

判斷ECU漏洞的優先次序

xZETA可讓供應商根據漏洞衝擊評分(Vulnerability Impact Rating, VVIR)來評估ECU中的漏洞，藉此判斷每一漏洞對供應商環境的風險程度與優先次序。

提供SBOM清單

xZETA能為每一套ECU韌體提供對應的SBOM清單，並支援SPDX國際標準交換格式。

遵守授權規定

xZETA能在SBOM的基礎上提供更好的可視性，把開源軟體的版本及名稱明確標示出來。協助客戶更全面掌握使用哪些開源軟體以及這些軟體所對應到的授權義務，降低智慧財產的成本與風險。

動態分析

針對第三方應用程式，動態分析可模擬ECU環境，協助監控可疑行為並偵測潛在的惡意程式或後門行為。

威脅專家

VicOne在各地的漏洞威脅專家可提供建議來減輕汽車製造商與供應商判斷優先次序及尋找解決方案的工作負荷，降低車輛安全隱患。

(本文作者為VicOne產品管理總監)