當今新車購買者的重點更多地集中在“ 智能座艙生態系統體驗”上 ，而不是動力和油耗等傳統功能。汽車行業已將全連接車載信息娛樂（IVI）系統所提供的觸摸屏顯示器、語音命令和娛樂功能作為優先開發項。

什么是車載信息娛樂系統？

越來越多的終端消費者希望獲得“數字生態系統”體驗?！爸悄茏摗笔擒囕d信息娛樂系統的核心，正在成為OEM及其汽車品牌的關鍵差異化因素。

IVI是車輛系統的組合，用于向車輛乘員提供音頻/視頻接口和控制元件 - 觸摸屏顯示器，按鈕面板，語音命令等。

以下是構成“智能座艙”的組件或模塊的簡介：

用戶界面：駕駛員和乘客在屏幕上通過觸摸或旋鈕和撥盤看到和與之交互的內容。

音響主機：包括顯示器、外殼、電路板、CD/DVD 播放器、收音機和多個處理器 ——統稱為車輛音響主機。它也是與車輛所有物理輸入的接口，例如音響系統和/或外部攝像頭。

操作系統（OS）： 作為信息娛樂系統的核心，操作系統控制對主機中處理器、內存、存儲和顯示器的訪問。

應用程序框架模塊：管理應用程序、導航和與系統交互的所有內容，例如文本到語音轉換和語音命令。它控制所有應用程序功能以及哪些應用程序可以顯示在音響主機中。

移動集成：使車輛能夠與各種智能手機和設備連接。支持Wi-Fi，藍牙和即插即用程序，例如Google Play的Mirror Link，Apple CarPlay和Android Auto，這些程序將手機媒體和應用程序的修改版本導入屏幕。

車載平臺：應用框架和操作系統之間的軟件橋梁，支持多媒體、視頻、導航、音頻、無線電、聲學、軟件更新、云服務等。

根據行業研究公司Frost & Sullivan最近的分析 ，到2025年，“聯網汽車”將占全球汽車市場的近86%。 同年，IVI市場預計將達到427億美元。

但是，IVI系統本身以及第三方應用程序也為網絡犯罪分子創造了許多漏洞。汽車行業IVI系統的OEM和一級供應商必須努力確保這些系統中的嵌入式代碼符合安全和安保關鍵標準。這樣做有助于避免高昂的召回成本及對品牌聲譽的影響。

網絡攻擊對IVI構成嚴重風險

可以說，聯網的車輛是通過其IVI系統連接到互聯網的四輪計算機。由于IVI系統是車內網絡的一部分，它可以為黑客提供很多易受攻擊的威脅點，他們可能通過控制駕駛員的智能手機并訪問個人數據，來操縱車輛安全關鍵系統功能或制造系統更新程序。因此，IVI系統開發實踐必須遵守編碼標準和指南。

最近對IVI系統發展有利的兩項舉措是ISO/SAE 21434標準和聯合國歐洲經濟委員會（UNECE）WP.29法規。這些標準相輔相成，為汽車行業確保新一代聯網汽車的發展做好了準備。

ISO/SAE 21434 標準以它的前身 ISO 26262 為基礎 ，后者不包括軟件開發或子系統。ISO/SAE 21434 側重于汽車電子產品設計和開發中固有的網絡安全風險。汽車軟件安全標準提供了一個結構化的流程，以確保在汽車產品的整個生命周期內將網絡安全考慮因素納入其中。

與ISO/SAE 21434 不同，WP.29法規將管理整個供應鏈中的網絡安全風險的責任放在OEM上。

IVI 網絡安全漏洞如何影響 OEM

OEM及其一級供應商需要采取措施避免其IVI嵌入式軟件中漏洞的負面影響，因為攻擊可能會威脅到駕駛員及其乘客的隱私和安全。網絡安全事件可能導致高額的損失，并可能引起車輛召回，最終影響品牌聲譽及企業生產。

為什么SAST對于IVI系統軟件代碼至關重要

靜態應用程序安全測試（ SAST ） 軟件測試方法可檢查和分析應用程序源代碼、字節代碼和二進制文件的編碼和設計條件，以發現 IVI 系統軟件中的安全漏洞。SAST背后的工作機制是一個靜態分析工具，用于檢查設計和編碼缺陷。

Klocwork 是 企業 DevOps 和 DevSecOps 的理想選擇， 是業界領先的 靜態分析和 SAST 工具，適用于 C、C++、C#、Java、JavaScript、Python 和 Kotlin 設計的源代碼。此外，10 家頂級汽車零部件制造商中有 9 家依靠 Perforce 靜態分析工具來幫助確保其汽車軟件的安全性、安全性和合規性。