對汽車安全的重視，我們做的可能還不夠。

我們不得不承認一個事實，當(dāng)汽車越來越智能的時候，隨之而來的風(fēng)險也越來越大。

這不是一個聳人聽聞的說法。早在前幾年，菲亞特克萊斯勒就由于車機被黑客入侵后遠程遙控而進行了大規(guī)模召回，更不用說因為「網(wǎng)紅效應(yīng)」而被各種破解的特斯拉，以及系統(tǒng)不穩(wěn)定經(jīng)常出現(xiàn)「死機」的新晉網(wǎng)紅蔚來 ES8?？傊?，一旦汽車軟件出現(xiàn)問題，那么就會對駕駛安全帶來很大的隱患。

特別是當(dāng)自動駕駛、網(wǎng)聯(lián)化離我們越來越近的時候，車輛結(jié)構(gòu)也變的更復(fù)雜。目前汽車電子架構(gòu)可能是由 60～100 個 ECU 以及 6～8 個獨立的系統(tǒng)組成。但隨著智能化加快，未來汽車會由 6～10 個高性能計算平臺（HPC）組成，軟件系統(tǒng)也會實現(xiàn)整合，并且具有 OTA 的能力。

數(shù)據(jù)能夠很直觀的告訴我們可能存在的風(fēng)險?？突仿〈髮W(xué)軟件工程學(xué)院的一份報告指出，在美國開發(fā)的代碼平均每個功能點會有 0.75 個缺陷，每一百萬行代碼就會有大約 6000 個缺陷。

而達到「很好」級別的代碼，則要求每一百萬行代碼的缺陷數(shù)量為 600～1000 個；「優(yōu)異」級別的代碼要求是少與 600 個。（缺陷中大約有 1～5%的部分會成為漏洞）

換句話說，即使所有代碼都達到了「很好」的級別，按照目前汽車平均 1 億行代碼來計算，每輛車?yán)锒伎赡苡?10 萬個缺陷以及 1000～5000 個漏洞。

這些缺陷以及漏洞可能會造成什么樣的風(fēng)險？沒有人可以預(yù)測。

「安全白皮書」

當(dāng)然，這篇文章并不是想危言聳聽。既然有風(fēng)險，肯定就有應(yīng)對的辦法。

在汽車軟件以及安全領(lǐng)域，Blackberry QNX 是繞不開的一個參與者。 在前兩天，GeekCar 有機會和 Blackberry 技術(shù)解決方案部（BTS）銷售與營銷高級副總裁 Kaivan Karimi 聊了聊關(guān)于智能化進程中，他們對于汽車安全的看法。

關(guān)于 Blackberry QNX，其實行業(yè)內(nèi)的小伙伴都不會陌生。2010 年，Blackberry 宣布收購 QNX。Blackberry 本身在安全領(lǐng)域就有超過 30 年的經(jīng)驗，曾經(jīng)很熱門的手機業(yè)務(wù)就是以安全和商務(wù)為最大賣點。QNX 作為汽車領(lǐng)域最大的操作系統(tǒng)供應(yīng)商，為安全認證軟件提供支持已經(jīng)超過 35 年。

Kaivan Karimi 告訴 GeekCar，對于汽車領(lǐng)域可能存在的風(fēng)險，QNX 運用多年的行業(yè)經(jīng)驗，總結(jié)出了一套「指導(dǎo)方針」。無論是主機廠還是供應(yīng)商，只要遵循這份保護汽車免受網(wǎng)絡(luò)安全威脅的建議框架，就能預(yù)防絕大多數(shù)的風(fēng)險。即使出現(xiàn)可能影響駕駛的漏洞，也能很快進行修復(fù)。

這份《汽車網(wǎng)絡(luò)安全——BlackBerry 的七大關(guān)鍵標(biāo)準(zhǔn)建議》概括了以下 7 個要點：

保障供應(yīng)鏈安全：

通過確保汽車中的每一個芯片和電子控制單元 （ECU） 能夠正確地進行身份驗證并裝載受信任的軟件，而不受到供應(yīng)商或制造商的影響，從而建立信任的根源。掃描部署的所有軟件以符合標(biāo)準(zhǔn)和所需的安全狀況。從漏洞和滲透測試的角度對供應(yīng)鏈進行定期評估，以確保他們得到認證并批準(zhǔn)交付。

使用值得信賴的組件：

使用安全的硬件、軟件和應(yīng)用程序，在深度體系結(jié)構(gòu)中深度分層，創(chuàng)建一個安全體系結(jié)構(gòu)。

采用隔離手法與受信通信：

使用電子系統(tǒng)架構(gòu)來隔離安全關(guān)鍵和非安全關(guān)鍵的 ECU，并且在檢測到異常時也可以保障安全運行。另外，這種方法也可以確保汽車中的電子設(shè)備和外部世界之間的通信都是安全可靠的。更為重要的是，ECU 之間相互的通信需要值得信賴和安全。

現(xiàn)場安全檢查：

確保所有 ECU 都集成了分析和診斷軟件，可以記錄所發(fā)生的事件，并將結(jié)果發(fā)送至云端以進一步分析并啟動預(yù)防性操作。此外，汽車制造商應(yīng)該確認一系列指標(biāo)定期自動掃描檢測，當(dāng)汽車在事件發(fā)生現(xiàn)場時，也能夠通過安全的無線網(wǎng)絡(luò) （OTA） 軟件更新來解決問題。

構(gòu)建事件快速響應(yīng)網(wǎng)絡(luò)：

在參與的企業(yè)網(wǎng)絡(luò)中共享常見的漏洞和風(fēng)險，這樣專家團隊就可以相互學(xué)習(xí)，并在較短的時間內(nèi)提供建議和修復(fù)方法。

使用生命周期管理系統(tǒng)：

一旦發(fā)現(xiàn)問題，自動利用安全的 OTA 更新軟件。積極采取證書管理來管理安全憑證，并部署統(tǒng)一的端點策略管理來管理在汽車生命周期內(nèi)下載的應(yīng)用程序。

組織內(nèi)建立安全文化：

確保汽車電子供應(yīng)鏈中的每一個企業(yè)都接受功能安全以及安全保障最佳案例的培訓(xùn)，并在企業(yè)中形成安全文化。

「未來 5 年內(nèi)只剩 2～3 種系統(tǒng)」

對于很多人來說，我們在車?yán)镒钪庇^能接觸到的軟件就是 IVI（車載信息娛樂）系統(tǒng)。 事實上，目前國內(nèi)主機廠或者供應(yīng)商在開發(fā) IVI 系統(tǒng)的時候，大多數(shù)都以 Android 系統(tǒng)作為基礎(chǔ)。

這么做的好處很明顯，首先是開發(fā)難度。國內(nèi)具有 Android 系統(tǒng)開發(fā)能力的工程師數(shù)量多，團隊建設(shè)更容易。其次，Android 的第三方應(yīng)用生態(tài)成熟。無論是通過接入 API 或者是 SDK 的方式，都能迅速把移動互聯(lián)網(wǎng)的服務(wù)能力移植到車?yán)铩?/p>

除了 Android，還有以 Tesla 為代表的的 Linux 陣營。這兩種系統(tǒng)本質(zhì)上都是開源的系統(tǒng)，主機廠能夠有更大的話語權(quán)來進行系統(tǒng)層面的定制，得到更個性化的產(chǎn)品。

Kaivan Karimi 告訴我，基于開源軟件開發(fā)雖然在初期會有一些優(yōu)勢，但是在最關(guān)鍵的安全層面卻容易出現(xiàn)風(fēng)險。畢竟開源的背后，也代表有更多可能被入侵的風(fēng)險。雖然開源軟件在初期開發(fā)上費用會比 QNX 更低，但后續(xù)的維護成本會更高。

另外，我們之前在討論自主品牌開發(fā) Android 系統(tǒng)車機時就提到過，這樣的策略也容易受限于 Google 的開發(fā)節(jié)奏。畢竟車機硬件沒辦法做到很快的迭代，對系統(tǒng)的持續(xù)維護也會有更高要求。

Kaivan Karimi 表示：「Linux 系統(tǒng) 5 年內(nèi)會在汽車內(nèi)消失，未來只會存在 2～3 種操作系統(tǒng)。」雖然這樣的說法有些絕對，但也說明從安全廠商的角度看，系統(tǒng)數(shù)量越多就意味著越大的風(fēng)險。

在去年，QNX 發(fā)布了 Hypervisor 2.0 系統(tǒng)。通過這套系統(tǒng)的虛擬化技術(shù)，能夠?qū)⒁壕x表、IVI 系統(tǒng)、ADAS 系統(tǒng)等多個操作系統(tǒng)合并到單一芯片系統(tǒng)上。并且系統(tǒng)能夠?qū)⒏鱾€模塊分隔，這樣即使有某個部分發(fā)現(xiàn)風(fēng)險，也能避免影響到其余的功能。比如當(dāng) IVI 系統(tǒng)發(fā)生錯誤死機，也不會影響到車輛底層和駕駛安全相關(guān)的系統(tǒng)功能。特別是當(dāng)自動駕駛技術(shù)的應(yīng)用開始普及，這樣的功能就顯得更有必要了。

Hypervisor 2.0 系統(tǒng)能夠支持類似運行 Android 系統(tǒng)軟件。Kaivan Karimi 告訴我，無論是 Android 或者是百度的產(chǎn)品，都能夠在 QNX 的 IVI 系統(tǒng)中運行。這樣也彌補了 QNX 在第三方生態(tài)方面的不足。據(jù) GeekCar 的了解，國內(nèi)座艙領(lǐng)域目前比較主流的一種開發(fā)方式就是「QNX 儀表+QNX Hypervisor+Android」。

關(guān)于汽車的系統(tǒng)安全，無論多么重視都不為過，畢竟誰都不想坐在一輛不可控的車?yán)?。從這個角度看，類似 Blackberry QNX 這樣的安全服務(wù)商雖然對普通用戶沒有明顯的存在感，但扮演的角色至關(guān)重要。