近日，国内新能源车企降价潮成为社会热议话题，新能源汽车产业在高速增长的同时，也面临越来越激烈的市场竞争。在“软件定义汽车”的时代，汽车工业正积极转向软件创新，汽车软件代码量与复杂度快速增长，与此同时，也引入了更多的安全风险和漏洞。

据研究机构Upstream发布的《2023年全球汽车行业网络安全报告》显示，在过去5年中，全球汽车行业因为网络攻击造成的损失超过5000亿美元，而近70%的汽车安全威胁都是由远距离的网络攻击行为引发的，仅仅是2021年到2023年全球公开发布的汽车网络安全事件就超过了1300多起。例如，丰田汽车旗下零部件制造商日本电装遭勒索软件攻击，造成日本国内所有丰田工厂临时停产；本田系列汽车被曝存在重大安全漏洞，黑客可远程解锁启动汽车。

图源：AI作图

软件与业务的深度融合，导致软件质量会直接影响业务连续性，一次业务中断可能会造成巨大损失，而开发安全则是保证软件安全的重要手段。根据CNVD的统计数据，目前绝大部分漏洞都发生在应用层面，而开发安全能够将大多数漏洞扼杀在摇篮当中。如何从根源上控制代码安全风险，保障软件开发安全，也成为了下面这家汽车企业亟需解决的课题。

01 复杂低效的开发安全流程现状

该企业为国内某大型汽车集团。开发迭代速度加快、软件供应链风险复杂等内外部环境变化给该企业带来了新的挑战。一方面，该企业研发模式由瀑布模型向敏捷化、DevOps持续演进，低代码/零代码、自助开发等在提升开发迭代效率的同时，也带来了爆发式API、组件复用复杂化等安全挑战；另一方面，软件供应链风险占比增加，地缘政治因素引发断供风险，开发安全亟需深入供应链管理。

基于以上背景与现状，该企业搭建了一套安全管控流程，通过E化流程加表单的方式来管理信息系统的开发安全，覆盖从需求定级到详细设计再到上线等阶段，形成了上线安全质量卡点。然而，实际运行中仍然存在诸多问题：一是流程未贯通，开发团队不知如何设计安全的产品，过程把控不足，没有形成知识库；二是开发缺乏赋能，安全检测工具、检测规则没有形成标准化，开发团队各自为战，检测结果差异大、效率低。

“表单里的内容设计得非常复杂，检查项也很多，然后那些名词看起来非常生硬，对我们来说感觉不是很接地气，每次填的时候也都是一知半解，懵懵懂懂地来填。”

——某项目经理

“对于这个流程，说实话我非常头疼。第一，它太长，像个老太婆的裹脚布一样，又臭又长。第二，看不懂，等看懂了半个小时一个小时过去了，非常浪费我的时间。”

——某研发负责人

“检查表里有五六张表，每张表都有几十个检查项，如果全靠人工去核实，一个是时间精力的问题，项目前期的架构设计以及整体的安全管控，我们事实上是没有全程参与深入进去的；另一个是这种手动的更新对于安全管理的质量和效率来说，都是一种比较落后的方式，在实际过程中，也没有达到跟业务真正的协同对接以及同步安全问题。”

——信息安全部门某员工

02 开发安全1.0迈向2.0，路在何方？

该企业基于原有的安全管控E化流程，以金融行业的先进经验和做法为参照，并依据软件开发安全国家标准，提出了开发安全建设从1.0提升到2.0的计划，涵盖体系建设、工作机制、工具应用、知识沉淀以及组织保障等多个方面。

该企业信息安全部门负责人表示，“集团将软件作为一项核心竞争力，安全为软件开发提供了重要保障，从而为企业数字化转型打下坚实的基础。”该负责人认为，在开发安全从1.0迈向2.0的过程中，应当从业务与安全两个方面共同打造未来的开发安全。短期来看，首先需要打造一个开发安全流程管理平台，将原有的安全管控流程平台化、自动化，然后以该管理平台为核心，在关键环节引入相应的工具，包括威胁建模、软件成分分析和安全测试工具。长期来看，希望把软件开发安全的流程和工具全部融入到软件开发平台中，一旦有安全事件产生，能够做到快速定位安全问题或组件漏洞，并第一时间进行修复，确保整个软件的出厂及运营的安全，从而更好地支撑业务的数字化转型和发展。

03 安全不掉线，业务稳向前

作为国内首批开辟开发安全业务的厂商，默安科技多年来深耕左移开发安全领域，具备业内领先的完整DevSecOps方案和丰富的落地经验积累。在经过谨慎的市场调研与产品选型后，该企业最终选择携手默安科技，共同建设开发安全流程体系。默安科技通过实际调研交流，针对该企业开发安全管控流程复杂低效的现状，打造了一套集工具化、平台化、自动化为一体的开发安全解决方案，协助该企业完善开发过程中的流程与规范，全面护航企业数字化转型之路。

该企业通过引入“工具+平台+服务”，即默安科技雳鉴STAC威胁建模分析系统、雳鉴IAST交互式应用安全检测系统、雳鉴SCA软件成分分析系统、雳鉴DSMP研发安全管理平台，将漏洞检测前置，从需求设计阶段就赋能开发者，降低安全开发门槛，全程自动化、方便、快捷，可以自助检测，精准、高效发现安全漏洞，帮助开发人员快速定位安全问题所在并进行修复，真正为企业做到降本增效。软件开发安全的工具化、平台化、自动化，也为该企业带来“使用无门槛、软件成分清、问题快定位、漏洞早发现”等多项业务价值，让软件“安全出生、健康成长”，助力该企业实现安全不掉线，业务稳向前。

目前，默安科技开发安全的专业化工具、平台及服务已经在金融、运营商、能源、政府、制造、交通、教育、医疗、IT，以及互联网等众多行业成功应用。未来，默安科技将不断强化产品技术创新与实践经验积累，帮助广大客户构筑并完善开发安全全流程体系，从源头管控软件安全风险，为数字化转型发展筑牢安全底座。