在今日的聯網世界裡，軟體供應鏈資安已成為最令人憂心的議題。隨著軟體定義汽車(SDV)生態系的持續發展並大量使用開放原始碼元件，嚴密的資安布建變得比以往更加重要。不論是從外部取得的元件，或是開放原始碼元件，雖然使用第三方程式碼能簡化開發流程、加快上市時程，但卻也帶來了漏洞。

根據NIST NVD的統計，從2021~2022年，漏洞的數量已成長了25%，使得車用軟體資安的重要性浮上了檯面，因為這些隱藏的風險不僅會對聯網汽車供應鏈帶來資安威脅，同時也會對汽車製造商(OEM)帶來財務風險，根據Sibros的報告，軟體召回事件在三年當中從10%增加到14%。

軟體定義汽車(SDV)大量使用開放原始碼元件，雖然使用第三方程式碼能簡化開發流程、加快上市時程，但卻也帶來了車輛資安漏洞

當企業因發生資安事件而登上新聞版面時，利害關係人會想知道以下資訊：

・衝擊評估：如何判斷自己的車輛或裝置是否受到影響？

・元件使用狀況：業務有哪些地方用到受影響的元件？

・漏洞攻擊：萬一漏洞遭駭客攻擊將帶來什麼衝擊？

・防範措施：該採取哪些步驟來防範風險？

此時就是軟體物料清單(SBOM)能派上用場的時候。

SBOM提升軟體供應鏈可視性

為了解決軟體供應鏈風險日益嚴重的資安疑慮，SBOM的出現可說是威脅情勢演變之下很重要的一環。SBOM是一份有關軟體在建構時用到的所有組成元件與相依性的全面盤點紀錄。它詳細列出了所有用到的元件、元件版本，以及元件彼此之間的關係，基本上就如同一份軟體零件清單(有關SBOM格式的相關資訊，可參考SPDX(Software Package Data Exchange)2.3標準)。

一份SBOM中包含三種重要的資訊：

・元件識別資訊：每個軟體元件的識別資訊，包括：名稱、版本、專屬識別碼。

・授權資訊：軟體元件的詳細授權說明，用來確認自己是否遵守相關的授權條款。

・相依性資訊：元件彼此之間的相依性，包括任何用到的開放原始碼資料庫或第三方軟體。

當資安事件發生時，產品資安團隊就能利用上述資訊快速判斷某項軟體產品是否使用了任何受影響的元件或版本。此外，像這樣的寶貴資訊，還能讓資安團隊很容易追蹤或追查整個軟體供應鏈，迅速找出哪些產品用到了某個開放原始碼元件，進而找出購買這些產品的客戶，然後產品資安團隊就能立即通知受影響的客戶。

使用SBOM的好處

軟體系統的日益複雜又互相依賴，使得軟體產品的元件追蹤與管理變得相當困難。SBOM藉由對軟體建構元件的記錄來提供一種系統性掌握軟體供應鏈的方法。它能促進開發流程的透明化與責任歸屬，這對車用資安而言相當重要。

SDV生態系中的各類利害關係人可善加利用SBOM所帶來的優勢，包括：

・發掘漏洞：將SBOM整合至漏洞管理平台以便自動檢查已知、零時差以及尚未公開的漏洞，這套自動化方法有助於加速發掘潛在的威脅。

・授權合規：SBOM可提供一份完整的軟體元件及其相關授權的盤點。這樣的可視性，能讓企業確認其產品或服務中用到的每項元件是否遵守其對應的授權條款。

・有效率的風險管理：有了SBOM，企業就能主動發掘及防範其軟體供應鏈當中的風險，降低業務中斷或發生資安事件的可能性。

・簡化軟體更新：SBOM可改善軟體版本與相依性的追蹤，進而讓軟體更新與修補管理更有效率、也更精準。

・元件相依性分析：SBOM揭露了不同軟體元件之間彼此依賴的關係，了解這些關係，資安人員就能準確找到含有漏洞的元件，並且評估整體的曝險程度。

不意外地，近年來有越來越多標準與法規開始導入SBOM，SBOM的重要性不僅獲得美國聯邦政府的認同，同時也獲得汽車產業的認同。美國總統拜登在2021年5月簽署的14028號有關「提升國家網路資安」的行政命令當中亦特別強調銷售軟體給聯邦政府的企業必須附上一份完整的SBOM。此外，某些國家也積極考慮將SBOM納入法規，這使得漏洞分析在汽車產業已成為一項必備的先決條件。

SBOM該如何開始導入

傳統上，建立SBOM是相當吃力的工作，必須依靠人工手動將軟體的詳細資料記在紙上或試算表當中。但一部現代化汽車動輒擁有上億行程式碼，而且隨著軟體不斷擴充並加入更多元件，手動輸入及更新這些資料的工作將變得越來越耗時且缺乏效率，有時甚至需要每天更新。對員工來說將是一項沉重的負擔，而且浪費時間。此外，手動作業流程也容易出錯，不僅可能衍生法律問題，還會阻礙漏洞的及早發現，進而損害汽車供應鏈之間的信賴。

為了消除手動管理的負擔，目前已經有專為汽車產業需求而設計的軟體成分分析(Software Composition Analysis, SCA)工具。這類特化的產品可自動產生並有效管理SBOM，不僅能簡化流程，還能改善汽車產業的網路資安。

接下來在本系列的第二篇，將討論如何發揮SBOM的優勢強化聯網汽車安全。

(本文由VicOne車用資安研究團隊提供)