开源软件供应链安全问题研究

当前,开源已经成为软件开发的重要模式之一。由于开源开发模式具有代码来源多样、依赖关系复杂等特点,使得开源软件面临代码漏洞风险、供应链攻击风险、知识产权风险、可持续维护风险等供应链安全问题,且问题呈现出快速增长态势。本文基于对开源软件供应链中的安全风险分析,提出从开源软件安全漏洞检测、软件成分分析、许可证冲突检测、开源生态可持续治理四个方面进行安全治理的方法,指出构建安全软件供应链面临依赖关系复杂、结构脆弱等挑战,对软件成分分析、供应链构建等未来研究方向进行了展望。     

开源密码软件供应链安全综述

本文是首篇对开源密码软件供应链安全问题进行调研、分析和总结的综述文章.首先,通过梳理和分析关于开源软件供应链、加密算法等相关领域文献,探讨了开源软件供应链与开源密码软件供应链的差异,明确了开源密码软件供应链的研究范围;其次,以密码软件供应链典型安全事件作为切入点,构建了开源密码软件供应链风险模型;再次,针对梳理出来的各类安全风险,横向参考了实体供应链风险管理成熟案例以及开源密码软件的风险应对措施,总结了开源密码软件供应链的安全风险防控手段.最后,指出了开源密码软件供应链领域所面临的挑战和机遇,并指出了未来的研究方向.     

探讨现代汽车发展：千里之行，始于安全

<正>汽车行业正在设法提升用户体验,不仅要兼顾性能和智能,还要将软件代码安全贯穿于产品的全生命周期,因为软件正在成为现代汽车行业发展不可或缺的一部分。当今汽车产业中,软件定义汽车、汽车电气化、智能网联及自动驾驶已经受到越来越多的关注。得益于更加先进且复杂的软件,汽车产业可以提供更强大的安全功能、更便利的操作以及更好的用户体验。但有一点不可忽视,那就是漏洞风险也随之增加,且攻击面更广。     

智能网联汽车安全威胁分析建模与防护研究

在当前科学技术高速发展背景下,汽车产品逐渐趋向电动化、智能化、网联化发展,其在给消费者带来新体验的同时,也推动汽车产业革新。然而需要认识到的一点是,智能网联汽车需要面对主动、被动、网络信息安全等传统汽车产品不涉及的新风险与隐患。基于此,本文针对当前智能网联汽车网络架构下的安全威胁开展分析,对威胁开展建模,并对相关威胁的远程入侵检测防护等问题进行探究。     

开源软件供应链安全研究综述

随着近年来开源软件的蓬勃发展,现代化软件的开发和供应模式极大地促进了开源软件自身的快速迭代和演进,也提高了社会效益.新兴的开源协作的软件开发模式,使得软件开发供应流程由较为单一的线条转变为复杂的网络形态.在盘根错节的开源软件供应关系中,总体安全风险趋势显著上升,日益受到学术界和产业界的重视.针对开源软件供应链,厘清了其关键环节,基于近10年的攻击事件,归纳了开源软件供应链的威胁模型和安全趋势,并通过对现有安全研究成果的调研分析,从风险识别和加固防御这两个方面总结了开源软件供应链安全的研究现状,最后对开源软件供应链安全所面临的挑战和未来研究方向进行了展望和总结.     

从软件安全开发生命周期实践的角度保障软件供应链安全

软件供应链安全覆盖软件的开发生命周期和生存周期,且与软件开发过程中的人员、工具、环境等因素密切相关,因而通过不同途径和不同方式能使得软件系统自带安全缺陷,并最终被恶意人员利用形成网络安全事件。文章基于行业主流的软件安全开发生命周期(S-SDLC)流程方法,从软件开发单位自身的安全开发管理、安全开发技术、供应商管理等方面,提出了软件开发过程中保障软件供应链安全的体系化方法,为软件开发过程中尽可能地避免和消除软件安全缺陷、保障软件供应链安全奠定重要基础。     

软件供应链安全综述

随着信息技术产业的发展和软件开发需求的扩展,软件开发的难度与复杂度不断上升,针对软件供应链的重大安全事件时有发生。这些事件展现了软件供应链攻击低成本而高效的特点以及软件供应链管理的复杂性,使得软件供应链的安全问题受到了广泛的关注,相关领域的研究工作也进入了起步阶段。本文从软件供应链安全的定义以及发展历程入手,介绍了软件供应链安全问题的相关背景,并通过对现有研究成果的调研分析,将软件供应链安全问题分为管理问题和技术问题两个方面,从这两个方面入手介绍了软件供应链安全的研究现状,然后结合研究现状总结了软件供应链安全所面临的现实挑战,并提出了未来可能的研究方向。     

欧盟《智能汽车安全的良好实践》对我国的启示

智能网联汽车已成为全球汽车产业发展的战略方向,汽车正由人工操控的机械产品逐步向电子信息系统控制的智能产品转变。随着汽车智能化、网络化、平台化的发展,其面临的网络安全问题愈发凸显。就此,欧盟网络安全局(ENISA)于2019年底发布了《智能汽车安全的良好实践》,以指导汽车厂商等产业链上下游的企业,共同解决智能汽车面临的网络安全问题。文章分析了《智能汽车安全的良好实践》主要内容,提出了我国智能汽车网络安全发展面临的问题,结合ENISA报告提出了我国智能汽车网络安全发展的对策建议。     

软件供应链安全保护措施

随着信息技术的飞速发展,软件供应链安全问题日益突出。恶意软件、漏洞利用和供应链攻击等威胁性行为时有发生,给用户的数据安全和商业利益带来巨大风险。因此,保护软件供应链安全成为当今信息安全领域的关键挑战。本文旨在探讨软件供应链安全保护的有效方法。首先,详细介绍了当前软件供应链生态系统中发生的安全事件,对软件供应链存在的安全风险进行了分析,以揭示其潜在威胁。其次,重点介绍了我国在供应链安全领域发布或制定的相关标准,以突出国家对加强供应链安全保护的重视。最后,介绍了公安部网络安全等级保护评估中心结合多年网络安全实战经验提出的软件供应链安全防护措施。     

混源操作系统供应链安全风险评估方法研究北大核心CSCD

当前软件供应链安全事件频发,对其进行安全风险评估可以发现潜在风险,这是管理安全风险和预防安全事件的重要手段之一。作为信息系统的核心基础软件,混源操作系统广泛应用于政务、电力、金融和通信等重要领域,其供应链安全风险引起业内的高度重视。混源操作系统具有代码来源多样、代码规模大、结构和组件依赖关系复杂的特点,而现有的软件供应链安全风险评估方法不够完善,用于评估供应链安全风险的评估指标不完全适用于混源操作系统。为了解决该问题,文章提出了供应链安全的可溯性、可用性和安全性保障目标,根据这些保障目标分析影响混源操作系统供应链安全的风险因素,并设计了一个可度量的指标体系以评估其安全风险。文章通过实例验证了该指标体系的有效性,并总结阐述了一些可用于评估重要指标的相关技术手段和工具。     

重视智能网联汽车产业发展与安全共振

伴随着以人工智能、5G、云计算、边缘计算、大数据、区块链、物联网等为代表的新一代信息技术向工业领域的不断渗透,汽车行业的信息安全问题日益凸显。汽车智能化、网联化程度逐步提高,车辆开放连接逐渐增多,相关设备系统间数据交互更为紧密,网络攻击、木马病毒、数据窃取等互联网安全威胁频繁发生。一旦车载系统和关键零部件、车联网平台等遭受网络攻击,可导致车辆被非法控制,造成财产损失,还会对数据安全、人身安全、社会安全等产生严重威胁。网络安全已经成为车联网产业健康发展的基础和前提,加强我国汽车行业的工业控制系统信息安全防护建设势在必行。当前我国汽车制造业工控信息安全处于怎样的状态?智能网联汽车的网络安全现状如何?或迎来哪些机遇?汽车信息安全是否存在严重漏洞?未来汽车信息安全将怎样发展?汽车信息安全能否改变汽车产业生态或者延展汽车产业链?2020年,工业控制系统信息安全产业联盟(ICSISIA)特别推出"行业季——走进汽车"专题系列活动,邀请到中国软件评测中心智能网联汽车测评工程技术中心主任、高级工程师宋娟,大连理工大学汽车工程学院院长、教授赵剑,中国信息通信研究院安全研究所工程师孙娅苹围绕汽车行业在系统...     

汽车数字供应链SaaS化新管理模式探究与实践

随着现代技术的发展,汽车产业孕育着新一轮升级。目前,汽车企业间的竞争逐步加大,已经逐步转化为供应链的竞争。而传统供应链生产管理仍然面临着市场高质量、高交期的巨大挑战,无法满足汽车企业对其生产效率的需求。因此,新的汽车供应链管理模式应运而生。研究了汽车数字供应链软件即服务(SaaS)化新管理模式,并基于SaaS平台实现探索供应链数字化管理的新生态模式。以某汽车公司为例,进行供应链SaaS生态平台实践研究,以数字化制造重塑供应链流程,解决供应链企业间数据协同,实现汽车全产业链互联互通、结构性降本增效,打造高效协作、互利共赢的新型行业生态模式。采用SaaS平台实现供应链生产管理后,其供应链管理数字化延伸,生产线开动率提升了1%,协同效率大幅提升。     

程序逆向分析在软件供应链污染检测中的应用研究综述

近年来软件供应链（SSC）安全问题频发，给软件安全研究带来了巨大挑战。在每天新发布的海量软件的情况下，自动化SSC污染检测变得非常重要。首先剖析和阐述了SSC污染检测问题，之后着眼于在SSC下游开展污染检测的需求，详细介绍了程序逆向分析技术及其在SSC污染检测中的应用，最后总结分析了现有技术在SSC污染检测任务中存在的不足与挑战，给出了克服这些挑战的若干值得研究的课题。     

智能网联汽车信息安全风险及应对举措

<正>当前,汽车产业与人工智能、5G、大数据等技术深度融合,智能网联汽车新产品不断推出。智能化、网联化、电动化正以一种相互促进、相互融合的方式重塑汽车产业生态,并推进汽车产业链供应链的重构。汽车逐渐由信息孤岛的交通工具发展成为集出行、娱乐、服务等为一体的数字空间。与此同时,智能网联汽车也面临更多信息安全风险。据汽车网络安全公司Upstream Security统计显示,自2020年起,     

面向智能汽车的信息安全漏洞评分模型

随着汽车智能化、网联化的发展,汽车中集成了越来越多的电子器件,数量庞大的硬件、固件和软件中隐藏着各种设计缺陷和漏洞,这从根本上导致了智能汽车信息安全问题。大量汽车漏洞的披露,严重影响了汽车安全,制约了智能汽车的广泛应用。漏洞管理是降低漏洞危害、改善汽车安全的有效手段。在漏洞管理流程中,漏洞评估是决定漏洞处置优先级的重要一环。但是,现有的漏洞评分系统不能合理地评估智能汽车安全漏洞。为了解决智能汽车漏洞评估不合理的问题,提出面向智能汽车的信息安全漏洞评分模型。基于通用漏洞评分系统（CVSS）漏洞评分原理,根据智能汽车的特点,优化了CVSS的攻击向量和攻击复杂度,并添加了财产安全、隐私安全、功能安全和生命安全4个指标来刻画漏洞可能对智能汽车造成的影响;结合机器学习的方法,对CVSS评分公式参数进行了调整,以使其更好地刻画智能汽车信息安全漏洞特点,适应调整后的指标权重。通过实例评估和统计系统特征分布发现,模型拥有更好的多样性和更稳定连续的特征分布,表明模型可以更好地对不同漏洞进行评分;并且基于模型评估得到的漏洞评分,应用层次分析法给出整车脆弱性评估,表征整车风险水平。所提模型相比现有模型可以更...     

关于智能网联汽车数据安全治理框架的探究

随着智能网联汽车市场快速发展,智能网联汽车数据量增长迅猛,数据交换愈加频繁。高价值和高敏感特性,使得如何保证数据安全成为智能网联汽车行业监管部门和车辆生产企业共同关注的重点。目前,针对智能网联汽车数据安全治理并没有统一的实践标准,基于智能网联汽车数据安全合规要求,从数据安全控制角度出发,对智能网联汽车数据安全治理框架进行初步探索,以数据分类分级为基础,以数据生命周期安全管理为主线,构筑包括数据安全管理、数据安全技术、数据安全运营和数据处理场景安全管理在内的整体数据安全治理框架,为智能网联汽车数据安全提供一种体系化治理路径。     

基于CATIA平台的车门附件参数化布置的研究

在分析汽车车门附件布置特点和CATIA软件二次开发功能的基础上，研究汽车车门附件的参数化布置方法，并实现了基于CATIA平台的主要车门附件的参数化布置．该系统既是一个独立模块，又是基于知识的车门附件布置设计系统的重要组成部分．     

智能网联汽车数据跨境流动的法律问题研究

数据是自动驾驶技术发展的核心，数据跨境流动是智能网联汽车行业发展中的常见场景。数据出境可能涉及国家安全、产业发展和个人信息保护等多方利益。我国在构建智能网联汽车数据跨境流动的法律规制时，必须立足本国利益，创新监管模式，平衡数据安全与产业发展的关系。     

新机遇还是无奈选择？——汽车电子成为中国软件产业新焦点

2010年3月28日,中国浙江吉利控股集团有限公司与美国福特汽车公司在瑞典哥德堡正式签署收购沃尔沃汽车公司的协议,吉利收购沃尔沃“终成正果”。这标志着中国汽车行业真正走向了国际,而于此同时,2010年对于中国软件行业来说也是朝向汽车电子软件发展的一年,包括用友、东软、普华都用不同的声音宣告着自己进军汽车电子领域,     

智能汽车人机协同控制的研究现状与展望

随着人工智能、互联网技术、通信技术、计算机技术的快速发展,以电动化、智能化及网联化为基础的智能汽车成为汽车行业发展的一大趋势.按照汽车智能化、自动化的发展进程,美国汽车工程师协会将智能汽车的发展分为手动驾驶、驾驶辅助、部分自动化、有条件自动化、高度自动化和完全自动化6个级别,虽然不同层次、不同功能的汽车智能化技术正迅猛发展,但是真正意义上的全工况自动驾驶在短期内很难实现.因此,在未来很长一段时期内,智能汽车必然面对人机协同控制的局面,本文详细介绍了智能汽车人机协同控制中驾驶员建模及人机驾驶权动态优化控制的国内外研究现状,同时简要介绍了智能汽车测试与评价的国内外研究现状,提炼了共性问题,并对人机协同控制的发展趋势给出了一些观点.