水湾编译|《安全开发生命周期》第六篇

在汽车开发生命周期的每个阶段都关注安全性，可以生产出安全的汽车。然而，要保证产品在使用寿命内的安全性，还存在开发后的挑战。其中一些挑战包括车辆的生命周期长、服务性能和保养。这些挑战可能影响车辆及其零部件的需求和设计，需要尽早考虑。

    尽管在产品生产完成之前就已经为产品设计了安全性，但值得注意的是，维护过程为开发过程提供了宝贵的反馈。其中一些生产后流程可以为未来的产品安全设计提供信息，包括事件响应、漏洞管理和安全监控。有关每个主题的更多信息，请参阅《Auto SAC's事件响应最佳实践指南》；《威胁检测、监控和分析最佳实践指南》；以及《漏洞管理最佳做法指南》（暂定于未来制定）。这些过程可以远远扩展到单个产品之外，并有可能增强组织的整体安全态势。从这些挑战中吸取的经验教训可以融入汽车SDL流程的需求和设计阶段，以帮助持续改进安全性。

    5.1车辆生命周期长

    汽车系统的平均使用时间超过十年。与许多其他互联网消费产品相比，这种漫长的生命周期可能会带来独特的挑战：（1）安全威胁格局一直在迅速演变，并可能在车辆的使用寿命内发生巨大变化；（2）车辆不受OEM的直接控制；（3） 大量暴露在公众面前会损害产品的安全性；以及（4）OEM和产品供应商在关闭系统时可能很难全面地考虑安全相关问题。

    为了缓解这些与汽车漫长生命周期相关的生产后挑战，汽车公司可能会在汽车SDL过程中采用几种最佳实践。OEM（系统设计者）和供应商（产品供应商）需考虑：如果发现关键元件易受攻击，如何维护系统？对于OEM来说，这可能意味着在多个层面建立各种形式的灵活性和深度防御，以充分应对随着时间推移威胁格局的变化（例如更新加密方案、启用/禁用服务），并定期审查过往设计，以应对应用程序变化带来的新风险。OEM可能还希望采用有限和受控的生命周期机制，如密钥撤销和更换或生命周期模式更改（如开发、生产和保修）。

计划联网车辆基础设施的长期维护或安全退役可以防止不良行为者操纵旧车辆（例如，保持对远程信息处理相关领域的控制，以防止领域接管）。OEM还需要考虑如何帮助其客户在所有权转让和报废用例中保护其信息和远程访问。

    对于供应商来说，这可能意味着在产品制造时需考虑产品的长期支持计划，并将这些支持计划传达给客户。供应商与OEM沟通的信息类型可能包括产品针对弱点或发现的漏洞得到支持的时间，以及他们将如何确保构建环境的维护、开发专业知识和提供此类支持所需的资源。

    5.2适用性和维护

    合同规定了车辆和设计零部件的维修服务质保期。根据需要，可以通过服务中心或通过线上更新提供详细的故障排除、更换和更新车辆部件的服务程序来支持维修服务工作。更新是对部署在使用中车辆的适当项目或系统的硬件或软件所做的更改（例如配置、软件、新的或已删除的功能）。服务则包括在保持修订控制、可追溯性和可撤销性的同时具有功能和补丁更新的能力。

    工具管理包括为产品的诊断和功能测试提供安全的工具使用。策略证据、校准水平和可用工具清单的证据可以记录下来，并在适当的时候提供。