安全是一个过程，而不是一个产品——布鲁斯·施奈尔.

新科技中国资深咨询服务专家于志浩指出，在软件产品的整个生命周期中，需要不断地对风险进行梳理，评估和分析，衍生出相关的安全目标和需求，最终在R&D阶段实现，后期对产品进行验证，测试和维护当新的产品形态出现时，上述所有过程都需要再次经历循环迭代，以保证软件整个生命周期的安全性

新科技中国高级咨询服务专家于志浩

基于汽车软件开发全链条的ISO/SAE 21434网络安全管理标准

伴随着软件定义汽车时代的到来，一方面，汽车中的软件代码急剧增加，同时系统的复杂度也在增加，漏洞出现的频率也在飙升卡耐基梅隆大学软件工程学院的研究数据显示，常规水平下每百万行代码约有6000个缺陷或漏洞，在优秀的水平上，每百万行代码不会有超过600个漏洞另一方面，联网使得汽车与外界连接的端口数量增加，云端，手机，无线通信接口，车载网络，外部设备都可能成为汽车的被攻击面

因此，业界更加重视汽车软件的安全开发和维护2021年8月，汽车信息安全领域首个国际标准ISO/SAE 21434正式发布该文件定义了汽车电子电气系统的网络安全风险管理要求，涵盖了概念，开发，生产，运维，报废等全生命周期的各个阶段它阐明了标准，并为安全编码规范，安全功能相关测试和风险相关测试提供了指导涉及如何在传统车辆开发模型中嵌入安全相关的具体控制节点，如何将安全开发生命周期的流程嵌入现有的产品开发生命周期等行业难点

于志浩特别提到，ISO/SAE 21434除了发展全生命周期管理之外，还强调车辆运行周期中的安全管理，提出建立覆盖车辆全生命周期的常态化，长效化，安全化的管理模式。

ISO/SAE 21434分为15章前5—7章从宏观角度阐述了车辆网络安全的一般要求，包括整体网络安全管理，基于项目的网络安全管理和持续的网络安全活动在接下来的章节中，根据汽车的全生命周期，明确了威胁分析和风险评估，概念开发，验证，生产，运营和维护等各个环节的汽车网络安全需求

加州塔拉，基于风险的相关测试

于志浩着重介绍了两个关键部分:一是概念开发阶段的威胁分析和风险评估，以及与TARA相关的网络安全保证等级二是产品开发阶段基于风险的模糊测试和渗透测试

具体来说，TARA的目的是在车辆产品开发初期识别潜在威胁和安全漏洞，并综合考虑攻击的大小和范围等因素，确定系统可能存在的风险和风险等级，从而获得相应的网络安全目标TARA需要七个步骤:资产定义，威胁场景分析，影响等级，攻击路径分析，攻击可行性等级，风险判定，风险处置决策

ISO/SAE 21434为每项资产指定了网络安全级别虽然搭载芯片的汽车的计算能力迭代速度极快，但伴随着智能电动化的发展，每辆汽车的计算能力资源都需要用在汽车控制，网关，智能驾驶，智能驾驶舱，网络安全等诸多领域所以要合理统筹，把好钢用在刀刃上于志浩表示，CAL意在划分和定义资产的不同安全级别结合TARA的安全目标，CAL级别可以融入网络安全需求，为开发团队提供资源分配的决策依据

开发阶段的测试可以分为两种不同的类型:一种是安全功能测试，另一种是基于风险的测试，包括模糊测试和渗透测试其中，模糊测试主要是向系统中注入非法，异常或意外的输入，以揭示软件缺陷和漏洞这种扫雷安全漏洞的方式通常依靠自动化软件工具来达到目的

渗透要求测试人员站在系统攻击者的角度思考，属于对计算机系统的授权模拟攻击，旨在评估系统安全性渗透测试人员使用与攻击者相同的工具，技术和流程来发现和展示系统弱点可能造成的影响

于志浩表示，网络安全团队可以将上述环节有机结合，实现基于流程的安全管理目标比如先进行静态安全静态代码分析和模糊测试，寻找代码中潜在的漏洞，然后将报告结果公开给渗透测试人员，让他们进行更有针对性的模拟攻击

于志浩表示，只有完成各个环节的安全需求，才能形成有组织的安全能力，进而在概念开发，验证，生产，运维等全流程链条的网络安全管理中实现协同效应。

TARA的实用点，静态代码分析，漏洞扫描，模糊测试，渗透测试等具体的安全活动。

ISO/SAE 21434标准涉及六个具体的安全活动:TARA，静态代码分析，漏洞扫描，模糊测试，渗透测试和网络安全监控于志浩对每一项活动都进行了阐述，并结合新思科技的行业经验，着重介绍了这六项具体安全活动在实践中的注意事项在于志浩看来，自动化软件的应用，基于流程的思维，战略统筹和常态化的安全监控是网络安全管理的四个关键点

于志浩表示，TARA非常依赖分析师的经验和企业自身的积累此外，网络安全团队还可以使用自动化工具来完成TARA实施中涉及计算的步骤，减少人为错误和不确定性，并确保不同的分析师可以推导出一致的结果此外，如果需要实现TARA，企业需要集成和维护模板，漏洞等数据库

值得注意的是，TARA的实施必须基于整个产品开发过程从循环流程图中可以看出，TARA将贯穿网络安全管理的整个生命周期，需要随时反映软件的所有变化，以及这些变化对产品安全的未知影响

静态静态代码分析尤其依赖自动化工具幸运的是，行业中有许多自动化工具可以帮助制造商应对这些挑战比如新思科技提供的Coverity静态应用安全测试工具，可以在不运行软件的情况下分析源代码，可以帮助发现代码中的缓冲区溢出，信息泄露，内存崩溃等缺陷与静态静态代码分析类似，漏洞扫描也依赖于自动化软件工具，如黑鸭软件组成分析工具，来检测目标系统开源组件中的已知漏洞于志浩补充道，自动化工具的应用还需要结合战略实施计划

基于风险的模糊测试和渗透测试可以在黑客攻击之前发现应用程序和服务中的漏洞其中，模糊测试侧重于系统的接口和内部逻辑，而渗透测试已经在业界得到广泛应用值得注意的是，除了自动化工具和战略应用，要实现网络安全管理，企业还需要配合正常的网络安全监控和反馈

于志浩补充道，越来越多构建云原生应用的企业都在采取以开发者为中心的安全策略和安全左移，以便开发者能够尽量在开发生命周期的早期进行安全测试。

安全不在于单一的产品，更在于过程如何实现这一目标，新思科技也提出了相关策略比如在软件开发阶段，由于代码量巨大，漏洞扫描时间过长，会在一定程度上影响交付进度信思科技通过建立软件安全建设成熟度模型，将安全风险以数字化，可视化的方式呈现通过分析和存储网络安全项目的大量数据，帮助企业更有策略地扫描风险等级较高的模块，减少其他模块的扫描频率，从而加快项目进度

软件安全建设成熟度模型不仅可以应用于上述领域，还可以作为信思科技推出的软件安全计划的测量和评估工具BSIMM的第一版于2008年推出它通过收集企业在网络安全管理方面的大量真实数据，创建了一个开放标准，旨在建立一个基于软件安全实践模块的框架，帮助企业规划，执行，评估和改进其软件安全计划，并协助企业与其他网络安全团队进行横向和纵向比较到目前为止，BSIMM已经迭代了12个版本