汽车信息安全漏洞扫描及模糊测试工具

上海潘琪信息技术有限公司从内到外为智能网联汽车提供一站式V2X信息安全解决方案AutoTrust和信息安全风险评估咨询服务CSRA。其中，AutoTrust基于车内外智能联网通信流程，为主机厂和Tier 1提供了一整套保障车辆安全的通信安全解决方案。其相关服务包括认证系统、防火墙、加密密钥生成和管理等模块。

上海潘琪信息技术有限公司总经理陶金做了“车辆信息安全漏洞扫描及模糊测试工具介绍”的演讲，重点介绍了行业背景、AutoTrust安全分析仪和“上海潘琪”。以下是演讲内容:

陶金，上海潘琪信息技术有限公司总经理

今天给大家分享的干货都集中在一点:测试，尤其是测试中基于开源软件的漏洞扫描。首先是背景介绍:为什么要做测试？第二个是关于漏洞扫描。遗漏扫描工具的名称是AutoTrust Security Analyzer，测试工具是AutoTrust Security Fuzzer。AutoTrust是我们公司的产品系列，因为我们也有自己的安全解决方案。最后我简单介绍一下我们公司背景。

开源风险管理的必要性

首先是关于测试的背景。大家都很熟悉ISO/SAE 21434，里面提到了功能测试、单元测试、漏洞扫描，包括静态分析、动态分析、开源软件泄漏扫描，最后是渗透测试。今天我就讲讲ISO/SAE 21434第十章网络安全设计的集成与验证，第十一章网络安全的验证。

目前开源安全软件其实有两个问题，第一是已知漏洞的扫描，第二是开源软件的授权。比如国外有一些开源联盟，要求如果使用联盟提供的开源软件，二次开发也要对外公布和报备，可能会涉及知识产权纠纷。这在电子行业很流行，汽车行业也会有这种问题。

目前，复制、修改、使用部分源代码和依赖源代码等模式的多样化导致安全和开源代码许可的风险增加。业界有一种解决方案叫做SBOM，它是一种软件材料清单。在SBOM上，你可以查看开源软件的build版本，软件组件的发布号，决定是否继续使用。

自动信任安全分析器

我们的SA工具可以帮助客户准确找到开源许可和安全漏洞的解决方案，其运行逻辑如下:

如果客户需要扫描软件，他们可以将其放在SA扫描仪中。第一步是散列和加密源代码。第二步，通过SA大数据库(VDB)匹配CVE、补丁、加密文件和开源代码。核心在于第三步。通过AI分析算法，基于函数和文件做漏洞分析，利用我们的专利VUDDY技术，通过软件包管理器的依赖分析，推导出各种结果。最后，进行软件BoM管理。AutoTrust Security Analyzer为软件供应链管理提供了SPDX和CycloneDX两种SBOM全局格式，便于在SDLC的所有阶段识别软件组件和管理风险。

下面简单介绍三种漏扫模式。第一种是基于命令语言，第二种是通过代码上传，第三种是把代码放到Git上，可以直接用于漏扫。

市场上有很多工具，大部分都是基于组件或者库文件的。他们最多能做C文件和Java文件级别的源代码，SA工具却能做功能层，提供更精准的服务。此外，SA工具在修补时使用反向端口。比如一个软件的新版本发现了漏洞，可以通过打源代码补丁来修复，但是这个软件的老版本因为源代码不一样，不能用同一个补丁来修复。这时候就需要对软件老版本的源代码打补丁，而Backport的作用就是将软件补丁应用到比补丁对应版本更老的版本上。最后，除了已知的漏洞，SA工具还支持定制企业不想公开的隐藏漏洞。这些都是SA工具的优势。

在授权问题上，SA工具设置了专门的接口来管理授权:通过提供OSS许可证和发布信息，消除了许可证合规的风险。它将自动创建检测到的开源代码许可风险报告。

至于漏洞管理，SA工具主要提供三种类型的服务。首先，提供基于功能的amp库漏洞检测:提供基于代码级别的漏洞信息；提供库漏洞信息(包括依赖性)。二是可以提供多种补丁信息:提供组件易受攻击版本的补丁；提供确切易受攻击功能的修补程序。第三是提供补丁建议(CVSS amp；CWE前25名):提供基于CVSS的严重性分数信息；为检测到的CVE提供CWE排名前25的信息。

接下来需要介绍软件生命周期各阶段的开源管理和运营方案。在软件定义阶段，开发人员需要收集要使用的开源项目列表，查看关于安全漏洞、许可证、质量等开源信息；在软件开发和测试阶段，开发者需要开发基于可行性研究和开发计划选择的开源项目。开发结束后，开发者还需要遵守软件治理政策，识别漏洞，处理授权问题。

在这里，你需要使用SA工具。比如，如果有在不暴露源代码的情况下分析厂商源代码的需求，你只需要给合作伙伴提供AutoTrust s a扫描器，SA工具会对源代码进行哈希和加密。SA还可以确认SBoM信息、检测漏洞和许可证合规性问题。

关于SF工具，下面简单介绍一下。这个工具目前支持CAN FD协议，目前正在开发以太网、NFC、蓝牙、WIFI等领域。

关于“上海潘琪”

最后简单介绍一下我们公司。我们公司叫上海信息技术有限公司，潘是一块石头，而崛起是崛起:它的意思是在坚实的岩石上崛起。目前我们公司的定位是做自动驾驶信息安全，以后会做移动出行信息安全。我们公司有一个重要的战略合作伙伴AUTOCRYPT，总部在韩国。AUTOCRYPT在德国、慕尼黑、加拿大、多伦多、新加坡和硅谷都有分支机构。之前在韩国待了十几年，这家公司也是我的老东家。我在汽车信息安全领域工作了十年左右。2018年，我回国创业，和合伙人成立了潘琪。

我觉得自动驾驶有三个网络，一个是车载网络，涉及到电子电气架构，比较复杂。二是外网，如V2X、V2I、V2V等。第三是电力网络。现在自动驾驶的基本标准是纯电动汽车。电动汽车与充电桩交互的场景中会有大量的信息交互。这时就会需要信息安全认证和安全保护。

上海潘琪信息科技主要业务涉及三个领域:V2X信息安全:基于V2X的自动驾驶信息安全解决方案和服务；IVS信息安全:黑客入侵防范和异常监控防范解决方案及合规咨询服务；V2信息安全:新能源汽车充电信息安全解决方案及认证服务。

具体来说，IVS主要包括合规咨询、信息安全解决方案和信息安全测试，其中核心产品是解决方案，如AutoTrust IVS-IDS；自动信托IVS公司VSOC自动信任IVS-ECU .此外，V2X主要包括终端、OBU、RSU上的安全协议栈，包括服务器端SCMS cloud的CA平台。CA平台不仅满足中国国内行业标准，还支持IEEE 1609.2标准，以及欧洲A级标准，等等。

最后，V2G主要包括PKI技术。比如电动汽车和充电桩互联时，需要使用PKI体系进行保护。此外，车载终端和充电终端的EVCC和SECC模块也需要配备安全协议栈。目前我公司与国内主机厂、充电桩公司都有合作。

我们有国内外的项目经验，国内项目占三分之一左右，国外项目也很多。现在我们正在尽快把国外的项目移植到中国。最后，上海潘琪信息技术有限公司是一家初创公司，使命是保障自驾移动出行的信息安全，愿景是做自驾移动出行的“信息安全鹰”。以上是我的分享，谢谢。