對(duì)汽車安全的重視，我們做的可能還不夠。

我們不得不承認(rèn)一個(gè)事實(shí)，當(dāng)汽車越來(lái)越智能的時(shí)候，隨之而來(lái)的風(fēng)險(xiǎn)也越來(lái)越大。

這不是一個(gè)聳人聽(tīng)聞的說(shuō)法。早在前幾年，菲亞特克萊斯勒就由于車機(jī)被黑客入侵后遠(yuǎn)程遙控而進(jìn)行了大規(guī)模召回，更不用說(shuō)因?yàn)椤妇W(wǎng)紅效應(yīng)」而被各種破解的特斯拉，以及系統(tǒng)不穩(wěn)定經(jīng)常出現(xiàn)「死機(jī)」的新晉網(wǎng)紅蔚來(lái) ES8�？傊�，一旦汽車軟件出現(xiàn)問(wèn)題，那么就會(huì)對(duì)駕駛安全帶來(lái)很大的隱患。

特別是當(dāng)自動(dòng)駕駛、網(wǎng)聯(lián)化離我們?cè)絹?lái)越近的時(shí)候，車輛結(jié)構(gòu)也變的更復(fù)雜。目前汽車電子架構(gòu)可能是由 60～100 個(gè) ECU 以及 6～8 個(gè)獨(dú)立的系統(tǒng)組成。但隨著智能化加快，未來(lái)汽車會(huì)由 6～10 個(gè)高性能計(jì)算平臺(tái)（HPC）組成，軟件系統(tǒng)也會(huì)實(shí)現(xiàn)整合，并且具有 OTA 的能力。

數(shù)據(jù)能夠很直觀的告訴我們可能存在的風(fēng)險(xiǎn)�？�耐基梅隆大學(xué)軟件工程學(xué)院的一份報(bào)告指出，在美國(guó)開(kāi)發(fā)的代碼平均每個(gè)功能點(diǎn)會(huì)有 0.75 個(gè)缺陷，每一百萬(wàn)行代碼就會(huì)有大約 6000 個(gè)缺陷。

而達(dá)到「很好」級(jí)別的代碼，則要求每一百萬(wàn)行代碼的缺陷數(shù)量為 600～1000 個(gè)；「優(yōu)異」級(jí)別的代碼要求是少與 600 個(gè)。（缺陷中大約有 1～5%的部分會(huì)成為漏洞）

換句話說(shuō)，即使所有代碼都達(dá)到了「很好」的級(jí)別，按照目前汽車平均 1 億行代碼來(lái)計(jì)算，每輛車?yán)锒伎赡苡?10 萬(wàn)個(gè)缺陷以及 1000～5000 個(gè)漏洞。

這些缺陷以及漏洞可能會(huì)造成什么樣的風(fēng)險(xiǎn)？沒(méi)有人可以預(yù)測(cè)。

「安全白皮書(shū)」

當(dāng)然，這篇文章并不是想危言聳聽(tīng)。既然有風(fēng)險(xiǎn)，肯定就有應(yīng)對(duì)的辦法。

在汽車軟件以及安全領(lǐng)域，Blackberry QNX 是繞不開(kāi)的一個(gè)參與者。 在前兩天，GeekCar 有機(jī)會(huì)和 Blackberry 技術(shù)解決方案部（BTS）銷售與營(yíng)銷高級(jí)副總裁 Kaivan Karimi 聊了聊關(guān)于智能化進(jìn)程中，他們對(duì)于汽車安全的看法。

關(guān)于 Blackberry QNX，其實(shí)行業(yè)內(nèi)的小伙伴都不會(huì)陌生。2010 年，Blackberry 宣布收購(gòu) QNX。Blackberry 本身在安全領(lǐng)域就有超過(guò) 30 年的經(jīng)驗(yàn)，曾經(jīng)很熱門的手機(jī)業(yè)務(wù)就是以安全和商務(wù)為最大賣點(diǎn)。QNX 作為汽車領(lǐng)域最大的操作系統(tǒng)供應(yīng)商，為安全認(rèn)證軟件提供支持已經(jīng)超過(guò) 35 年。

Kaivan Karimi 告訴 GeekCar，對(duì)于汽車領(lǐng)域可能存在的風(fēng)險(xiǎn)，QNX 運(yùn)用多年的行業(yè)經(jīng)驗(yàn)，總結(jié)出了一套「指導(dǎo)方針」。無(wú)論是主機(jī)廠還是供應(yīng)商，只要遵循這份保護(hù)汽車免受網(wǎng)絡(luò)安全威脅的建議框架，就能預(yù)防絕大多數(shù)的風(fēng)險(xiǎn)。即使出現(xiàn)可能影響駕駛的漏洞，也能很快進(jìn)行修復(fù)。

這份《汽車網(wǎng)絡(luò)安全——BlackBerry 的七大關(guān)鍵標(biāo)準(zhǔn)建議》概括了以下 7 個(gè)要點(diǎn):

保障供應(yīng)鏈安全:

通過(guò)確保汽車中的每一個(gè)芯片和電子控制單元 (ECU) 能夠正確地進(jìn)行身份驗(yàn)證并裝載受信任的軟件，而不受到供應(yīng)商或制造商的影響，從而建立信任的根源。掃描部署的所有軟件以符合標(biāo)準(zhǔn)和所需的安全狀況。從漏洞和滲透測(cè)試的角度對(duì)供應(yīng)鏈進(jìn)行定期評(píng)估，以確保他們得到認(rèn)證并批準(zhǔn)交付。

使用值得信賴的組件:

使用安全的硬件、軟件和應(yīng)用程序，在深度體系結(jié)構(gòu)中深度分層，創(chuàng)建一個(gè)安全體系結(jié)構(gòu)。

采用隔離手法與受信通信:

使用電子系統(tǒng)架構(gòu)來(lái)隔離安全關(guān)鍵和非安全關(guān)鍵的 ECU，并且在檢測(cè)到異常時(shí)也可以保障安全運(yùn)行。另外，這種方法也可以確保汽車中的電子設(shè)備和外部世界之間的通信都是安全可靠的。更為重要的是，ECU 之間相互的通信需要值得信賴和安全。

現(xiàn)場(chǎng)安全檢查:

確保所有 ECU 都集成了分析和診斷軟件，可以記錄所發(fā)生的事件，并將結(jié)果發(fā)送至云端以進(jìn)一步分析并啟動(dòng)預(yù)防性操作。此外，汽車制造商應(yīng)該確認(rèn)一系列指標(biāo)定期自動(dòng)掃描檢測(cè)，當(dāng)汽車在事件發(fā)生現(xiàn)場(chǎng)時(shí)，也能夠通過(guò)安全的無(wú)線網(wǎng)絡(luò) (OTA) 軟件更新來(lái)解決問(wèn)題。

構(gòu)建事件快速響應(yīng)網(wǎng)絡(luò):

在參與的企業(yè)網(wǎng)絡(luò)中共享常見(jiàn)的漏洞和風(fēng)險(xiǎn)，這樣專家團(tuán)隊(duì)就可以相互學(xué)習(xí)，并在較短的時(shí)間內(nèi)提供建議和修復(fù)方法。

使用生命周期管理系統(tǒng):

一旦發(fā)現(xiàn)問(wèn)題，自動(dòng)利用安全的 OTA 更新軟件。積極采取證書(shū)管理來(lái)管理安全憑證，并部署統(tǒng)一的端點(diǎn)策略管理來(lái)管理在汽車生命周期內(nèi)下載的應(yīng)用程序。

組織內(nèi)建立安全文化:

確保汽車電子供應(yīng)鏈中的每一個(gè)企業(yè)都接受功能安全以及安全保障最佳案例的培訓(xùn)，并在企業(yè)中形成安全文化。

「未來(lái) 5 年內(nèi)只剩 2～3 種系統(tǒng)」

對(duì)于很多人來(lái)說(shuō)，我們?cè)谲嚴(yán)镒钪庇^能接觸到的軟件就是 IVI（車載信息娛樂(lè)）系統(tǒng)。 事實(shí)上，目前國(guó)內(nèi)主機(jī)廠或者供應(yīng)商在開(kāi)發(fā) IVI 系統(tǒng)的時(shí)候，大多數(shù)都以 Android 系統(tǒng)作為基礎(chǔ)。

這么做的好處很明顯，首先是開(kāi)發(fā)難度。國(guó)內(nèi)具有 Android 系統(tǒng)開(kāi)發(fā)能力的工程師數(shù)量多，團(tuán)隊(duì)建設(shè)更容易。其次，Android 的第三方應(yīng)用生態(tài)成熟。無(wú)論是通過(guò)接入 API 或者是 SDK 的方式，都能迅速把移動(dòng)互聯(lián)網(wǎng)的服務(wù)能力移植到車?yán)铩?/p>

除了 Android，還有以 Tesla 為代表的的 Linux 陣營(yíng)。這兩種系統(tǒng)本質(zhì)上都是開(kāi)源的系統(tǒng)，主機(jī)廠能夠有更大的話語(yǔ)權(quán)來(lái)進(jìn)行系統(tǒng)層面的定制，得到更個(gè)性化的產(chǎn)品。

Kaivan Karimi 告訴我，基于開(kāi)源軟件開(kāi)發(fā)雖然在初期會(huì)有一些優(yōu)勢(shì)，但是在最關(guān)鍵的安全層面卻容易出現(xiàn)風(fēng)險(xiǎn)。畢竟開(kāi)源的背后，也代表有更多可能被入侵的風(fēng)險(xiǎn)。雖然開(kāi)源軟件在初期開(kāi)發(fā)上費(fèi)用會(huì)比 QNX 更低，但后續(xù)的維護(hù)成本會(huì)更高。

另外，我們之前在討論自主品牌開(kāi)發(fā) Android 系統(tǒng)車機(jī)時(shí)就提到過(guò)，這樣的策略也容易受限于 Google 的開(kāi)發(fā)節(jié)奏。畢竟車機(jī)硬件沒(méi)辦法做到很快的迭代，對(duì)系統(tǒng)的持續(xù)維護(hù)也會(huì)有更高要求。

Kaivan Karimi 表示：「Linux 系統(tǒng) 5 年內(nèi)會(huì)在汽車內(nèi)消失，未來(lái)只會(huì)存在 2～3 種操作系統(tǒng)�！闺m然這樣的說(shuō)法有些絕對(duì)，但也說(shuō)明從安全廠商的角度看，系統(tǒng)數(shù)量越多就意味著越大的風(fēng)險(xiǎn)。

在去年，QNX 發(fā)布了 Hypervisor 2.0 系統(tǒng)。通過(guò)這套系統(tǒng)的虛擬化技術(shù)，能夠?qū)⒁壕�儀表、IVI 系統(tǒng)、ADAS 系統(tǒng)等多個(gè)操作系統(tǒng)合并到單一芯片系統(tǒng)上。并且系統(tǒng)能夠?qū)⒏鱾�(gè)模塊分隔，這樣即使有某個(gè)部分發(fā)現(xiàn)風(fēng)險(xiǎn)，也能避免影響到其余的功能。比如當(dāng) IVI 系統(tǒng)發(fā)生錯(cuò)誤死機(jī)，也不會(huì)影響到車輛底層和駕駛安全相關(guān)的系統(tǒng)功能。特別是當(dāng)自動(dòng)駕駛技術(shù)的應(yīng)用開(kāi)始普及，這樣的功能就顯得更有必要了。

Hypervisor 2.0 系統(tǒng)能夠支持類似運(yùn)行 Android 系統(tǒng)軟件。Kaivan Karimi 告訴我，無(wú)論是 Android 或者是百度的產(chǎn)品，都能夠在 QNX 的 IVI 系統(tǒng)中運(yùn)行。這樣也彌補(bǔ)了 QNX 在第三方生態(tài)方面的不足。據(jù) GeekCar 的了解，國(guó)內(nèi)座艙領(lǐng)域目前比較主流的一種開(kāi)發(fā)方式就是「QNX 儀表+QNX Hypervisor+Android」。

關(guān)于汽車的系統(tǒng)安全，無(wú)論多么重視都不為過(guò)，畢竟誰(shuí)都不想坐在一輛不可控的車?yán)�。從這個(gè)角度看，類似 Blackberry QNX 這樣的安全服務(wù)商雖然對(duì)普通用戶沒(méi)有明顯的存在感，但扮演的角色至關(guān)重要。

大白

叫我大白就好了

作者問(wèn)答

問(wèn)：你認(rèn)為汽車智能化跟安全的關(guān)系是怎么樣的？