软安科技 - 汽车行业安全开发能力提升方案

汽车行业新四化背景下安全开发能力提升的策略与实现

 

挑战

 

政策

国内外的标准法规（ISO/SAE 21434、ISO 26262、R155、R156）发布速度过快，企业疲于应对。

 

模式

开发模式正从传统的 V 模型逐渐向DevOps转型，因此软件安全与合规性需要跟上这一开发模式的变革。

 

安全

在IPS（入侵防御系统）、IDS（入侵检测系统）和安全网关等安全防护方面已经做了大量工作，但开发安全能力仍然非常薄弱。

 

解决方案介绍

 

开发安全能力评估

• 依据行业标准法规要求，分析企业当前在开发安全能力方面的差距。
• 根据业务目标制定改进计划，例如26262等级认证、CSMS（网络安全管理体系）、VTA（车辆型式认证）及 ASPICE（汽车软件过程改进及能力测定）等级认证。

 

开发安全能力建设

针对改进计划，我们提供包括但不限于以下内容：

 

• OEM 安全需求的制定或解读
• TARA（威胁分析与风险评估）
• ASPICE过程构建
• 编码规范的落地
• 模糊测试与动态测试
• 开源组件的安全合规使用

 

第三方安全测试评估

可提供第三方视角的安全测试，以协助企业评估安全建设的有效性。我们提供包括但不限于以下内容：

• 渗透测试
• 模糊测试
• 等等

 

优势

 

行业专家经验

• ASPICE评估师
• 国际大厂安全建设的一手经验
• MISRA标准评审委员会成员

 

成熟工具链

• 完备的开发安全工具链，帮助客户满足合规需求
• 全程辅助客户使用工具
• 无缝集成CI/CD，兼具精准与高效