某世界500强车企集汽车整车、动力总成和关键零部件设计、研发、生产、销售和服务于一体,旗下拥有独立的科技创新公司,专注于汽车智能化与网联化,提供数字座舱电子产品、主动安全电子产品、无人驾驶传感器与控制器,以及车联网云平台和大数据平台的运营服务。
信息化成车企必争高地,信息安全建设需求迫切
近年来新能源布局稳步推进,该车企作为最早投身智能网联研发的先行者,已进入智能化下半场,基于智能架构、智能座舱、智能驾驶打造“智能汽车”的核心竞争力。随着该公司及子公司信息系统和汽车研发系统建设的发展,信息安全建设的需求也日趋迫切,该车企在大力推动智能驾驶技术研发和应用的同时,也面临着如下紧急问题:
如何支持汽车研发过程整个生命周期中需求、概念、研发、采购、测试、运营等各个阶段的安全。
如何在软件开发的整个生命周期提供充足的证据证明软件是安全的。
如何集成各类安全检测工具,进行漏洞可视化管理与安全知识库建设。
S-SDLC构造安全开发能力,保障数字化业务平稳发展
经过多方调研,该公司最终选择与开源网安共建S-SDLC平台,全面识别并管控软件开发从架构设计、功能设计、编码、测试、发布、运维各个阶段的安全风险,提前进入安全建设,构造安全开发能力。
搭建SDLC平台,覆盖汽车研发与软件开发整个生命周期,确保汽车研发与软件开发过程的安全。
SDLC平台集成了开源网安TARA威胁建模工具、软件成分分析工具SourceCheck、灰盒安全检测工具VulHunter等,并提供了安全知识库,帮助程序员通过平台化、可视化能力快速提升自我安全修养,为产品安全性创造更多可能性。
SDLC平台以ISO/SAE 21434标准为目标,实现对车型认证流程支撑,对项目管理、威胁建模TARA、需求管理、研发管理、一致性验证、渗透性验证、漏洞管理各个阶段进行集中安全管控,并提供软件系统的安全证明。
集成开源网安S-SDLC工具后,该车企将安全控制线提前,提高安全覆盖面,90%的应用安全问题在研发过程中解决,大部分应用能及时安全上线,也大幅降低了安全人员工作量。同时SDLC平台融合既有管理系统,促进了开发人员对安全的重视,提高了安全部门监管力度,保障了该企业更好地把握数字化浪潮,推动企业业务乃至整个社会实现更高效、更智能的发展。