當(dāng)今新車(chē)購(gòu)買(mǎi)者的重點(diǎn)更多地集中在“ 智能座艙生態(tài)系統(tǒng)體驗(yàn)”上 ，而不是動(dòng)力和油耗等傳統(tǒng)功能。汽車(chē)行業(yè)已將全連接車(chē)載信息娛樂(lè)（IVI）系統(tǒng)所提供的觸摸屏顯示器、語(yǔ)音命令和娛樂(lè)功能作為優(yōu)先開(kāi)發(fā)項(xiàng)。

什么是車(chē)載信息娛樂(lè)系統(tǒng)？

越來(lái)越多的終端消費(fèi)者希望獲得“數(shù)字生態(tài)系統(tǒng)”體驗(yàn)?！爸悄茏摗笔擒?chē)載信息娛樂(lè)系統(tǒng)的核心，正在成為OEM及其汽車(chē)品牌的關(guān)鍵差異化因素。

IVI是車(chē)輛系統(tǒng)的組合，用于向車(chē)輛乘員提供音頻/視頻接口和控制元件 - 觸摸屏顯示器，按鈕面板，語(yǔ)音命令等。

以下是構(gòu)成“智能座艙”的組件或模塊的簡(jiǎn)介：

用戶(hù)界面：駕駛員和乘客在屏幕上通過(guò)觸摸或旋鈕和撥盤(pán)看到和與之交互的內(nèi)容。

音響主機(jī)：包括顯示器、外殼、電路板、CD/DVD 播放器、收音機(jī)和多個(gè)處理器 ——統(tǒng)稱(chēng)為車(chē)輛音響主機(jī)。它也是與車(chē)輛所有物理輸入的接口，例如音響系統(tǒng)和/或外部攝像頭。

操作系統(tǒng)（OS）： 作為信息娛樂(lè)系統(tǒng)的核心，操作系統(tǒng)控制對(duì)主機(jī)中處理器、內(nèi)存、存儲(chǔ)和顯示器的訪(fǎng)問(wèn)。

應(yīng)用程序框架模塊：管理應(yīng)用程序、導(dǎo)航和與系統(tǒng)交互的所有內(nèi)容，例如文本到語(yǔ)音轉(zhuǎn)換和語(yǔ)音命令。它控制所有應(yīng)用程序功能以及哪些應(yīng)用程序可以顯示在音響主機(jī)中。

移動(dòng)集成：使車(chē)輛能夠與各種智能手機(jī)和設(shè)備連接。支持Wi-Fi，藍(lán)牙和即插即用程序，例如Google Play的Mirror Link，Apple CarPlay和Android Auto，這些程序?qū)?a href="http://m.brongaenegriffin.com/v/tag/107/" target="_blank">手機(jī)媒體和應(yīng)用程序的修改版本導(dǎo)入屏幕。

車(chē)載平臺(tái)：應(yīng)用框架和操作系統(tǒng)之間的軟件橋梁，支持多媒體、視頻、導(dǎo)航、音頻、無(wú)線(xiàn)電、聲學(xué)、軟件更新、云服務(wù)等。

根據(jù)行業(yè)研究公司Frost & Sullivan最近的分析 ，到2025年，“聯(lián)網(wǎng)汽車(chē)”將占全球汽車(chē)市場(chǎng)的近86%。 同年，IVI市場(chǎng)預(yù)計(jì)將達(dá)到427億美元。

但是，IVI系統(tǒng)本身以及第三方應(yīng)用程序也為網(wǎng)絡(luò)犯罪分子創(chuàng)造了許多漏洞。汽車(chē)行業(yè)IVI系統(tǒng)的OEM和一級(jí)供應(yīng)商必須努力確保這些系統(tǒng)中的嵌入式代碼符合安全和安保關(guān)鍵標(biāo)準(zhǔn)。這樣做有助于避免高昂的召回成本及對(duì)品牌聲譽(yù)的影響。

網(wǎng)絡(luò)攻擊對(duì)IVI構(gòu)成嚴(yán)重風(fēng)險(xiǎn)

可以說(shuō)，聯(lián)網(wǎng)的車(chē)輛是通過(guò)其IVI系統(tǒng)連接到互聯(lián)網(wǎng)的四輪計(jì)算機(jī)。由于IVI系統(tǒng)是車(chē)內(nèi)網(wǎng)絡(luò)的一部分，它可以為黑客提供很多易受攻擊的威脅點(diǎn)，他們可能通過(guò)控制駕駛員的智能手機(jī)并訪(fǎng)問(wèn)個(gè)人數(shù)據(jù)，來(lái)操縱車(chē)輛安全關(guān)鍵系統(tǒng)功能或制造系統(tǒng)更新程序。因此，IVI系統(tǒng)開(kāi)發(fā)實(shí)踐必須遵守編碼標(biāo)準(zhǔn)和指南。

最近對(duì)IVI系統(tǒng)發(fā)展有利的兩項(xiàng)舉措是ISO/SAE 21434標(biāo)準(zhǔn)和聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)（UNECE）WP.29法規(guī)。這些標(biāo)準(zhǔn)相輔相成，為汽車(chē)行業(yè)確保新一代聯(lián)網(wǎng)汽車(chē)的發(fā)展做好了準(zhǔn)備。

ISO/SAE 21434 標(biāo)準(zhǔn)以它的前身 ISO 26262 為基礎(chǔ) ，后者不包括軟件開(kāi)發(fā)或子系統(tǒng)。ISO/SAE 21434 側(cè)重于汽車(chē)電子產(chǎn)品設(shè)計(jì)和開(kāi)發(fā)中固有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。汽車(chē)軟件安全標(biāo)準(zhǔn)提供了一個(gè)結(jié)構(gòu)化的流程，以確保在汽車(chē)產(chǎn)品的整個(gè)生命周期內(nèi)將網(wǎng)絡(luò)安全考慮因素納入其中。

與ISO/SAE 21434 不同，WP.29法規(guī)將管理整個(gè)供應(yīng)鏈中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的責(zé)任放在OEM上。

IVI 網(wǎng)絡(luò)安全漏洞如何影響 OEM

OEM及其一級(jí)供應(yīng)商需要采取措施避免其IVI嵌入式軟件中漏洞的負(fù)面影響，因?yàn)楣艨赡軙?huì)威脅到駕駛員及其乘客的隱私和安全。網(wǎng)絡(luò)安全事件可能導(dǎo)致高額的損失，并可能引起車(chē)輛召回，最終影響品牌聲譽(yù)及企業(yè)生產(chǎn)。

為什么SAST對(duì)于IVI系統(tǒng)軟件代碼至關(guān)重要

靜態(tài)應(yīng)用程序安全測(cè)試（ SAST ） 軟件測(cè)試方法可檢查和分析應(yīng)用程序源代碼、字節(jié)代碼和二進(jìn)制文件的編碼和設(shè)計(jì)條件，以發(fā)現(xiàn) IVI 系統(tǒng)軟件中的安全漏洞。SAST背后的工作機(jī)制是一個(gè)靜態(tài)分析工具，用于檢查設(shè)計(jì)和編碼缺陷。

Klocwork 是 企業(yè) DevOps 和 DevSecOps 的理想選擇， 是業(yè)界領(lǐng)先的 靜態(tài)分析和 SAST 工具，適用于 C、C++、C#、Java、JavaScript、Python 和 Kotlin 設(shè)計(jì)的源代碼。此外，10 家頂級(jí)汽車(chē)零部件制造商中有 9 家依靠 Perforce 靜態(tài)分析工具來(lái)幫助確保其汽車(chē)軟件的安全性、安全性和合規(guī)性。