ISO/SAE 21434标准即将发布，你准备好了吗？

作者：新思科技软件质量与安全部门高级安全架构师杨国梁

不要将网络安全放在车辆生命周期的次要位置。ISO/SAE 21434标准即将发布，将网络安全纳入道路车辆设计的全生命周期。新思科技将通过本文为汽车厂商提供一些建议，为符合该新标准做好准备，在汽车产品开发和整个生命周期中提升安全性。

开启网络安全计划

缜密的网络安全计划可以追踪网络安全活动及其进度。该计划必须明确网络安全活动的目标，在完成该目标的过程中有任何的前置条件或依赖关系，都需要有明确的责任方、资源需求及相关的时间表。

了解ISO/SAE 21434标准带来的影响

对于ISO/SAE 21434标准的每个主要条款，企业必须量身定制其网络安全活动，并不断改进其规范和验证方法。这包括从宏观层面的治理模型（例如提供培训计划和提升安全意识），一直到微观层面的具体规范技术部件规格等所有内容。您的流程、步骤和文档必须达到ISO/SAE 21434网络安全计划活动标准，以便为即将到来的法规要求和独立的网络安全审核做好准备。

定义网络安全保证等级

网络安全保证等级的提升需要循序渐进，但是可以将不同的等级结合起来以实现特定的任务。网络安全保证等级的数量将取决于您的网络安全计划，但是不同等级之间必须有清晰的界限，并且必须指定关联的目标。

使用测试工具应对技术及合规挑战

中国汽车制造商，尤其是那些开拓海外市场的汽车制造商，他们不仅需要克服技术挑战，管理软件开发生命周期和供应链中的风险，还要确保软件确保符合客户及监管机构的重要国际标准。

新思科技的工具和服务能够将软件测试集成到开发工作流程中，着重针对合规性目标进行分析和修正，并根据特定的软件标准出具报告。新思科技静态应用安全测试工具Coverity便是其中一款产品。

近日，凭借Coverity的速度、易用性、准确性、行业标准合规性及可扩展性，新思科技在众多同类厂商中脱颖而出，在中国汽车网络安全周荣获大会颁发的“AutoSec安全之星”年度杰出安全测试工具供应商奖项。中国汽车网络安全周是中国大规模的无人驾驶及汽车网络安全行业峰会。Coverity可以帮助开发和安全团队在软件开发生命周期的早期解决安全和质量缺陷，并帮助企业实现合规性目标：

• 帮助企业对问题的归类
• 帮助确定开发团队工作的优先排序
• 自动识别关键问题并提供相应的修复建议
• 生成报告以满足合规审计
• 帮助安全团队了解安全漏洞的严重性以及对企业的风险级别

汽车工业的技术变化很复杂，尤其在涉及到自动驾驶汽车时。许多汽车制造商需要将联网汽车的数据安全实践与国际法规和标准保持一致。越早做好准备，就能更好地采取相应措施，以符合新法规和标准。