随着数字化转型，各行业如何应对潜在的网络安全问题？

今天给各位分享随着数字化转型，各行业如何应对潜在的网络安全问题？的知识，其中也会对而且开源项目不活跃也更容易被植入恶意代码进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文导读目录：

1、智能网联汽车周报(11月第二周) ｜ 上海发布人工智能大模型创新发展若干措施；深蓝汽车智能化解决方案正式发布

2、网络安全该如何加强？

3、随着数字化转型，各行业如何应对潜在的网络安全问题？

　　本·周·目·录

国内动态

●上海发布人工智能大模型创新发展若干措施

●上汽、联创、零束和TTTech合作ADAS

●深蓝汽车智能化解决方案正式发布

●极氪汽车高速NZP提前解锁广深甬

●上汽通用汽车软件及数字化中心成立

●长安马自达与中科创达合作HMI人机交互

●小马智行与丰田合作自动驾驶车亮相进博会

●黑芝麻智能与香港科技园签订合作备忘录

●英伟达或将推出针对中国的改良版AI芯片

●真点高精度定位服务正式发布

●佑驾创新完成数亿元人民币E轮融资

●智能座舱公司锐见智行完成A轮融资

国际动态

●德国批准博世、英飞凌等入股台积电

●英国新规：车企需对自动驾驶事故负责

●通用汽车暂停生产Cruise无人驾驶车辆

●丰田将与NTT合作测试无人驾驶汽车

●现代起亚与英飞凌签署半导体供货协议

●苹果发明用于自动驾驶的远程控制设备

●苹果申请安全带系统泰坦项目新专利

●法雷奥和高通合作支持印度小型机动车

●恩智浦推出新电机控制解决方案

●瑞萨电子发布SoC和MCU处理器路线图

●艾迈斯欧司朗推出下一代OSLON系列LED

●新思科技推出新RISC-V ARC-V™处理器IP

●亚马逊与L&T合作加速软件定义车辆开发

●oToBrite推出车规级5MP/8MP摄像头模块

●AEye推出车内激光雷达可提高车辆性能

●Ansys与索尼合作汽车图像传感器仿真

●United Safety推出电池故障探测传感器

●Vector推出第八版虚拟试驾仿真软件

●rinf.tech与恩智浦等合作车辆网络安全

●Canopy与安霸合作开发智能车辆安全系统

●AECOM与ADASTEC合作AV-ReadiTM工具

●Ghost将多模态大语言模型引入自动驾驶

●南洋理工大学开发新仿真软件防止起火

国内动态

上海发布人工智能大模型创新发展若干措施

11月8日，上海市经济和信息化委员会等多部门发布关于印发《上海市推动人工智能大模型创新发展若干措施（2023-2025年）》的通知。实施大模型示范应用推进计划。重点支持在智能制造、生物医药、集成电路、智能化教育教学、科技金融、设计创意、自动驾驶、机器人、数字政府等领域构建示范应用场景，打造标杆性大模型产品和服务。推动大模型赋能产业互联网平台应用。将符合条件的大模型应用纳入人工智能示范应用清单和创新产品推荐目录。支持本市国有企事业单位开放大模型应用场景，优先采用经测试评估的大模型产品和服务。

上汽、联创、零束和TTTech合作ADAS

11月8日，在塑造高级驾驶辅助系统（ADAS）和域控制器技术未来的战略举措中，上汽集团、联创汽车电子有限公司（联创）和TTTech-Auto AG宣布加强合作。该联盟始于2018年，成立了“创时汽车科技有限公司”（创时），这是一家专注于在中国汽车市场开发、生产和销售先进驾驶辅助系统电子控制单元的合资企业。这一合作伙伴关系创建了一个创新中心，涵盖了现代汽车计算系统和网络的各个方面，从应用软件到中间件和硬件。这种集成方式完全可以为最终客户提供最佳解决方案。

深蓝汽车智能化解决方案正式发布

11月6日，深蓝汽车智能化解决方案正式发布，搭载高阶智驾辅助的全新深蓝S7i、深蓝SL03i同步上市。两款新车延续了现有车型的设计，在传感器方面进行了升级，配备了34个传感器，新增4D毫米波雷达、超声波雷达等，相比此前在售车型，新车搭载了深蓝汽车智慧出行智能化解决方案。深蓝汽车本次发布的智能化解决方案共分为智能操作系统Deepal OS2.0和高阶智驾辅助Deepal AD两部分，其中Deepal OS 2.X版本包含全新UI、全新应用、智慧导航、Deepal GPT等众多功能，Deepal AD则聚焦于用户使用频率最高的高速、城区、泊车三大场景。

极氪汽车高速NZP提前解锁广深甬

11月9日，极氪汽车宣布，其高速NZP服务提前解锁广州、深圳、宁波三座城市。据了解，极氪NZP是一种基于高精地图的辅助驾驶系统，可实现自主上下高速匝道、车道变化等。不经如此，该功能还能实现主动变道超车、按导航变道、自动过匝道、正确选择岔路、施工智能绕行、拨杆变道、模拟环境显示7项核心功能。据悉，极氪009、001两款车型均已支持。

上汽通用汽车软件及数字化中心成立

11月8日，上汽通用汽车官微宣布，上汽通用汽车软件及数字化中心正式成立。根据官宣内容，全新成立的上汽通用汽车软件及数字化中心将基于“云管端”的技术和业务需求，着力打造车云协同的组织架构，加快推动数字化、智能化与汽车的深度融合。据介绍，到2025年，上汽通用汽车在电动化、智能网联化新技术领域的总投入将达700亿元，而新成立的软件及数字化业中心，作为其中的重要一环，将全面推动公司的智能网联化向融合和纵深发展。

长安马自达与中科创达合作HMI人机交互

11月6日，长安马自达汽车有限公司（以下简称：长安马自达）宣布，与中科创达软件股份有限公司 （以下简称：中科创达）签署战略合作协议并举行交车仪式，双方将在HMI人机交互、UI设计、车内应用app等多方面进行深度合作，打造更加符合中国市场的智能座舱产品，助力车企新合资时代的汽车研发转型。此次合作，长安马自达与中科创达将秉承“相互尊重、互利共赢”的原则，以新项目车型为契机，共创能够体现马自达DNA的下一代人机交互界面设计及2D、3D视觉设计，推进具有马自达特色的车载应用软件的研究，并最终将相关成果应用到长安马自达的智能座舱产品上。

小马智行与丰田合作自动驾驶车亮相进博会

11月5日消息，小马智行与丰田汽车联合发布首款纯电自动驾驶出租车（Robotaxi）概念车，在第六届中国国际进口博览会亮相，未来将成为其推动全无人驾驶出行规模化落地任务的首款车型，为全无人驾驶商业化准备。据悉，该车型基于广汽丰田生产的bZ4X纯电车辆平台打造，将搭载小马智行研发的第七代L4级自动驾驶乘用车软硬件系统。小马智行同时首发了第七代自动驾驶乘用车软硬件系统的外观造型和传感器迭代理念。传感器方面仍采用包含固态激光雷达、摄像头、毫米波雷达的车规级多传感器方案，提高全无人驾驶的感知精度和安全性。

黑芝麻智能与香港科技园签订合作备忘录

11月6日，黑芝麻智能与香港科技园公司举行合作签约仪式，双方将合力推动黑芝麻智能香港科技创新研发中心在科技园落地，并促进园区打造车规级高性能智能汽车计算芯片平台。根据合作备忘录，作为领先的车规级智能汽车计算芯片及基于芯片的解决方案供应商，黑芝麻智能将在香港科技园成立其香港科技创新研发中心，预计2027年底累计在港研发投入1亿美元，并将本地研发团队扩充至100人。香港科技园公司一直致力推动香港的新型工业化进程，打造世界领先的微电子生态圈，目前已建设了完善的微电子产业设施。园区内已汇聚13,000多名研究人才，以及超过1,400家来自24个国家和地区的科技公司。香港科技园公司将积极协助黑芝麻智能完成各项资源对接，并支持黑芝麻智能未来的在港上市计划。

英伟达或将推出针对中国的改良版AI芯片

11月9日消息，据相关财经媒体报道，产业链人士称英伟达现已开发出针对中国区的最新改良版 AI 芯片，包括 HGX H20、L20 PCle 和 L2 PCle。知情人士称，最新三款芯片是由H100改良而来，英伟达最快或将于本月16号之后公布，国内厂商最快将在这几天拿到产品。据公开资料显示，NVIDIA H100 Tensor Core GPU 采用全新 Hopper 架构，基于台积电 N4 工艺，集成了 800 亿个晶体管。与上一代产品相比，可为多专家 (MoE) 模型提供高 9 倍的训练速度。它配备第四代 Tensor Core 和 Transformer 引擎（FP8 精度），还具有高度可扩展的 NVLink 互连技术（最多可连接达 256 个 H100 GPU，相较于上一代采用 HDR Quantum InfiniBand 网络，带宽高出 9 倍，带宽速度为 900GB/s）等功能。

真点高精度定位服务正式发布

11月9日，北斗星通旗下企业真点科技正式发布了云芯一体高精度定位服务——TruePoint.CM(厘米级定位服务)和TruePoint.DM（分米级定位服务）。真点科技本次产品发布在位置服务行业内率先提出“云芯一体”的解决方案，大幅提升了用户终端在复杂场景下的高精度定位性能和可用性。全球智能应用对位置服务需求持续提高，“云芯一体”模式让定位更精准、更可靠、更智能和更易用，全面提升了用户体验，广泛应用于测量测绘、智能驾驶、智慧农业、无人机、智能机器人等行业应用中。

佑驾创新完成数亿元人民币E轮融资

近日，智能驾驶解决方案研发商佑驾创新（MINIEYE）宣布完成数亿元人民币E轮融资，本轮投资方为穗开投资、广州产投资本、超高清视频产业投资基金、博原资本、华智兴瑞基金、新景富盈基金、珂玺资本，老股东普华资本增持。本轮募得资金主要用于扩大智能驾驶产品在海内外车型上的交付规模，加速高阶智能驾驶的研发迭代和落地进程。

智能座舱公司锐见智行完成A轮融资

近日，佑驾创新旗下公司锐见智行宣布完成近千万美元A轮融资，并落地杭州钱塘新区，投资方为祥晖资本。本轮资金将用于智能座舱产品的研发与扩大量产规模。锐见智行是一家专注于智能座舱感知与交互解决方案的研发商，产品核心功能包含驾驶员监测系统（DMS）、乘客监测系统（OMS）等。锐见智行针对6大场景提供主动式服务，包括个人识别、安全接管、无缝入车、儿童看护、多人娱乐及健康监测，在保证驾乘安全的同时，带给用户更具舒适性、个性化、娱乐化的座舱体验。

国际动态

德国批准博世、英飞凌等入股台积电

据外媒报道，德国企业联合管理局（German cartel office）在11月7日发表声明称，已批准博世、英飞凌和恩智浦参股台积电位于德国德累斯顿（Dresden）的新半导体工厂。德国企业联合管理局表示，三家公司将分别收购台积电成立的半导体公司European Semiconductor Manufacturing Company（ESMC）10%的股份。德国企业联合管理局负责人Andreas Mundt在一份声明中表示：“最近动荡的地缘政治表明，确保半导体供应是多么重要，尤其是对德国工业而言。”Mundt还补充说，欧盟和德国都致力于将更多的半导体生产带来欧洲和德国。

英国新规：车企需对自动驾驶事故负责

据外媒报道，英国政府在11月7日表示，根据自动驾驶汽车开发框架，该国将规定自动驾驶汽车的制造商承担任何撞车事故的法律责任，而无需车主担责，此举受到了保险公司和自动驾驶汽车初创公司的欢迎。此前，多家企业都表示，如果不能在预计于明年举行的下一次大选前通过有关自动驾驶车辆技术的法规，英国可能会失去投资，自动驾驶初创企业将选择在其他地方进行测试。

通用汽车暂停生产Cruise无人驾驶车辆

据路透社报道，11月6日，通用汽车表示，其计划暂时停止生产全自动驾驶车辆Cruise Origin。就在几天前，该公司刚刚表示将暂停所有无人驾驶业务。10月24日，加州机动车辆管理局（California’s Department of Motor Vehicles）暂停了Cruise在加州运营无人驾驶汽车的资格，并指控该公司隐瞒了一起旧金山行人事故的关键视频。在被吊销执照几天后，Cruise主动暂停了整个车队的无人驾驶业务。

丰田将与NTT合作测试无人驾驶汽车

据外媒报道，日本电报电话公司（NTT）的一位发言人在11月6日表示，该公司计划与汽车制造商丰田合作测试无人驾驶汽车技术，并向一家开发自动驾驶系统的美国初创企业进行投资。NTT的发言人表示，该公司的目标是最早从2025年开始，对自动驾驶巴士和出租车进行测试，并向美国初创企业May Mobility投资约100亿日元（合6,691万美元），此举凸显了自动驾驶技术正在日本快速发展的势头。日本媒体在11月6日最初报道了NTT将投资May Mobility的消息，并补充说，NTT和丰田将合作开发车辆。

现代起亚与英飞凌签署半导体供货协议

近日，英飞凌科技股份公司与现代汽车和起亚签署了碳化硅（SiC）和硅（Si）功率半导体长期供货协议。英飞凌将建设并保留向现代/起亚供应碳化硅及硅功率模块和芯片的产能直至 2030 年。现代/起亚将出资支持这一产能建设和产能储备。英飞凌的功率半导体是电动交通转型进程中的关键技术。这一转型将推动功率半导体市场的强劲增长，尤其是基于SiC等宽带隙材料的功率半导体。随着居林晶圆厂的大幅扩建，英飞凌将建成全球最大的200mm SiC功率半导体晶圆厂，并进一步巩固自身作为汽车行业优质批量供应商的领先地位。

苹果发明用于自动驾驶的远程控制设备

据外媒报道，美国专利商标局（US Patent & Trademark Office）公布了苹果公司的一项专利申请。该专利申请涉及一种车辆导航系统，可以基于从远程控制系统接收到的驾驶命令来在环境中导航车辆，其中该驾驶命令基于操作员与远程控制系统的界面的手动交互。此外，该系统也可以基于与车辆的一名或多名乘员相关的健康紧急情况（通过处理车辆传感器数据确定）来进行远程驾驶控制，并且远程控制系统可以生成远程驾驶命令，该命令使车辆被导航到特定位置，而不需要与健康紧急情况相关的乘员手动导航车辆。该远程控制系统可以通过所传送的车辆传感器数据来监控乘员，并且可以控制车辆中的远程控制装置，以提供外部指示，即车辆正在根据远程驾驶控制进行导航。

苹果申请安全带系统泰坦项目新专利

据外媒报道，美国专利商标局（US Patent & Trademark Office）公布了苹果公司的一项泰坦项目新专利，涉及各种商用车辆，例如公共汽车等大型自动驾驶车辆，或飞行器（飞机）以及使用汽油、柴油或电池的车辆。具体而言，该专利适用于搭载众多乘客的商用车辆。如今，大多数驾驶员控制台都会通过LED发出警报，提示乘客未系安全带。而苹果的警报系统被设计为使用复杂的基于雷达的系统，以确保安全带被佩戴和/或正确佩戴，因此更适用于具有更大客舱和更多乘客的车辆。

法雷奥和高通合作支持印度小型机动车

2023年11月，法雷奥和高通技术公司宣布签署谅解备忘录（MoU），为印度两轮和三轮车领域的创新探索合作机会。除了助力提升两轮和三轮车的安全性以外，双方还将利用彼此互补且丰富多样的产品组合来加速云连接数字服务的应用，为驾驶员和乘客带来更高的安全性和始终互联的数字化体验。双方将把高通针对两轮车和新型车辆类别的骁龙®数字底盘™（Snapdragon® Digital Chassis™）解决方案与法雷奥的显示器、车载信息系统和传感器技术以及软件专业技能相结合，开发出一个包括嵌入式蜂窝调制解调器、互联显示器、驾驶辅助功能和互联仪表板在内的综合解决方案。

恩智浦推出新电机控制解决方案

11月7日，嵌入式应用安全连接解决方案供应商恩智浦半导体（NXP® Semiconductors）推出专用电机控制解决方案S32M2，进一步扩展其S32车辆计算平台。该方案经过优化，可提高泵、风扇、天窗和座椅位置、安全带预紧器、行李箱开启器等车辆应用的效率。基于S12 MagniV®产品组合打造，S32M2结合了恩智浦的电机控制传统和S32平台的软件开发优势。该高度集成的系统级封装解决方案添加了电机控制所需的电源和模拟功能以及广泛的软件库，以用于恩智浦广泛采用的S32K微控制器。该方案可以满足新兴软件定义电动汽车市场的需求，使汽车制造商能够全面优化产品开发并最大限度地提高S32平台中的软件再利用。

瑞萨电子发布SoC和MCU处理器路线图

11月7日，先进半导体解决方案供应商瑞萨电子公司（Renesas Electronics Corporation）公布了其针对汽车数字领域所有主要应用的下一代系统级芯片（SoC）和单片机（MCU）的计划。瑞萨电子提供了有关其第五代R-Car SoC的最新消息。该SoC面向高性能应用，采用先进的封装内小芯片集成技术，使得汽车工程师能够拥有更大灵活度来定制设计。该公司还分享了下一代R-Car系列中即将推出的两款MCU产品改进计划。其中之一是新的跨界MCU系列，旨在为下一代汽车E/E架构中的所有域和区域电子控制单元（ECU）提供所需的高性能表现。

艾迈斯欧司朗推出下一代OSLON系列LED

11月9日，智能传感器和发射器供应商艾迈斯欧司朗（ams OSRAM）推出新一代OSLON Submount PL系列LED，为汽车前照灯模块和产品制造商提供更高的亮度和更多的设计灵活性。根据内部数据，第三代OSLON® Submount PL LED的亮度比第二代高出约9%，因此汽车制造商有可能降低新前照灯设计的系统成本。随着第三代产品的推出，OSLON® Submount PL系列预计将在入门级车辆和电动汽车的标准静态前照灯领域保持市场领先地位。艾迈斯欧司朗还提供了OSLON® Submount PL Gen3系列的其他版本，具有两种发光区域（LEA）选择，使前照灯制造商能够灵活地在单一电路板布局的产品中满足不同客户的规格。

新思科技推出新RISC-V ARC-V™处理器IP

11月7日，新思科技（Synopsys）宣布扩展其ARC® Processor（处理器）IP产品组合，纳入新的RISC-V ARC-V™处理器IP，使客户能够从各种灵活、可扩展的处理器选项中进行选择，从而为其目标应用提供最佳的电源性能效率。新思科技利用数十年的处理器IP和软件开发工具包经验来开发新的ARC-V处理器IP，且该IP基于新思科技现有ARC处理器经过验证的微架构构建，并具有不断扩展的RISC-V软件生态系统的额外优势。新思科技ARC-V处理器IP包括高性能、中档和超低功耗选项，以及功能安全版本，可满足广泛的应用工作负载需求。为了加速软件开发，新思科技ARC-V处理器IP得到了强大且经过验证的新思科技MetaWare开发工具包的支持，而该工具包可生成高效的代码。

亚马逊与L&T合作加速软件定义车辆开发

据外媒报道，印度数字工程和研发服务公司L&T Technology Services宣布与亚马逊云科技（Amazon Web Services，AWS）建立合作关系，帮助全球汽车制造商加速迈向软件定义汽车（SDV）之旅。通过传感器和计算机系统，SDV利用软件来管理其运营，从性能和舒适性到安全性和效率。由于这些车辆可以通过购买后的云软件更新继续获得附加值，L&T和AWS的合作将帮助制造商通过定制的安全解决方案加快SDV的开发。凭借AWS的虚拟工作台，此次合作使推出新产品所需的时间显著缩短了25%。不仅如此，该工作台还促进了管理汽车运行的车辆电子控制单元（ECU）软件的测试和开发。这一发展预计将推动各个领域的显著改进，例如安全、安保、娱乐和OTA软件更新。

oToBrite推出车规级5MP/8MP摄像头模块

11月7日，Vision-AI ADAS/AD解决方案供应商oToBrite宣布推出最新产品，以满足对高级驾驶辅助系统（ADAS）和自动驾驶（AD）应用不断增长的需求。随着增强感知技术的需求（特别是重型商用车），车辆越来越重，停车所需的时间也越来越长，oToBrite成功推出车规级5MP/8MP摄像头模块，以提高ADAS/AD系统的可视性和感知能力。oToBrite新推出的5MP/8MP摄像头模块采用高灵敏度CMOS传感器。oToBrite的5MP摄像头模组系列配备Sony IMX490传感器，并具有多种视角，包括30°、60°、90°和120°。而8MP摄像头模组系列采用索尼IMX728传感器，并提供多种视角。

AEye推出车内激光雷达可提高车辆性能

11月9日，自适应高性能激光雷达解决方案供应商AEye宣布推出其超紧凑、高性能汽车参考设计4Sight™ Flex。该设计体积较小、节能，且成本低，但却可提供无与伦比的性能，支持下一波可集成在车内的L2+、L3和L4级自主和安全功能。AEye的下一代4Sight Flex参考设计可提供卓越的挡风玻璃后性能，被认为是唯一能够在车内集成的1550 nm高性能激光雷达。它拥有120°水平（H）x 30°垂直（V）视场，具有高达0.05° x 0.05°的超高分辨率以及在10%反射率下长达275米的远距离检测。与AEye的第一代设计相比，新设计的尺寸大约减少一半，且功耗降低40%。

Ansys与索尼合作汽车图像传感器仿真

11月9日，美国Ansys公司与索尼半导体解决方案公司（Sony Semiconductor Solutions，Sony）合作，以增强下一代汽车应用（包括AV和ADAS）中的高保真图像传感器仿真和基于摄像头的功能。Ansys Speos现在可以与索尼的传感器模型无缝集成，通过更精确的建模来简化开发和验证。索尼图像传感器的用户现在可以获得光谱效果、高动态范围（HDR）和LED灯闪烁缓解的端到端车规级仿真保真度。用户还可以重现图像传感器现象，例如运动模糊和卷帘快门。

United Safety推出电池故障探测传感器

据外媒报道，安全解决方案供应商United Safety & Survivability Corporation宣布推出最新创新产品——锂离子电池故障探测传感器（Lithium-Ion Battery Failure Detection Sensor）。该款开创性产品为各行业的电动汽车树立了新的安全标准。该传感器可以探测到被释放的气体，在潜在故障变得严重之前就能被探测到。此外，该装置不仅可以单独安装，还可以与Fogmaker灭火系统等灭火装置一起安装，以提供一个全面的探测与灭火系统。该传感器可以探测到被释放的气体，在潜在故障变得严重之前就能被探测到。此外，该装置不仅可以单独安装，还可以与Fogmaker灭火系统等灭火装置一起安装，以提供一个全面的探测与灭火系统。

Vector推出第八版虚拟试驾仿真软件

据外媒报道，软件工具开发商Vector Informatik宣布推出其虚拟试驾仿真软件DYNA4的第八版（DYNA4 R8），采用了一个新的场景引擎，可以天然支持符合ASAM标准OpenSCENARIO 1.2用于描述复杂试驾场景的输入格式。DYNA4集成了ASAM标准OpenSCENARIO、OpenDRIVE和OSI，提供基于场景的车辆控制功能测试。据该公司所说，这意味着大量建模场景可以在整个ECU开发流程以及各种仿真执行环境中得到一致的重复使用。ASAM标准OpenSCENARIO定义了一种描述格式，用于对虚拟试驾的驾驶场景中的动态部分（例如周围车辆、行人和骑行者等道路使用者的行为）进行建模。场景中的静态部分，如底层道路网络，则可基于互补的OpenDRIVE标准进行建模。

rinf.tech与恩智浦等合作车辆网络安全

据外媒报道，总部位于罗马尼亚加勒斯特的国际技术咨询公司rinf.tech宣布与半导体公司恩智浦半导体（NXP® Semiconductors）合作，一起研发由Bitdefender公司安全代理（Security Agent）提供支持的网联车辆网络安全应用。该汽车安全代理采用Bitdefender最先进的安全解决方案，通过rinf.tech的汽车工程专业技术及与Bitdefender团队的密切合作，被集成至网联车辆环境中。该解决方案可保护软件定义汽车免受勒索软件伤害，恶意攻击，支付、跟踪与导航等敏感信息数据泄露，以及减少驾驶员安全事故。

Canopy与安霸合作开发智能车辆安全系统

11月8日，边缘人工智能半导体公司安霸（Ambarella）和智能汽车安全初创公司Canopy宣布，Canopy选择安霸的CV25 AI计算机视觉系统级芯片（SoC）作为其旗舰Canopy Pickup Cam系统，为卡车车厢提供实时监控和威胁检测。Canopy是ADT与福特的合资企业，其摄像头和安全系统与大多数皮卡车兼容，并于10月30日开始向客户发货。该系统采用安霸的CV25 SoC，具有业界领先的每瓦人工智能性能，可检测侵入和篡改等威胁，同时减少卡车车主的误报。CV25的功效使Pickup Cam能够长时间提供全面的威胁检测和警报。此外，CV25 SoC还支持未来系统扩展以增加更多摄像头。

AECOM与ADASTEC合作AV-ReadiTM工具

据外媒报道，当地时间10月3日，全球基础设施咨询公司AECOM宣布将于汽车行业技术供应商ADASTEC Corp合作，一起推进研发AECOM正在申请专利的AV-ReadiTM工具。该款工具是AECOM研发的业内首个解决方案，可以让基础设施所有者及运营商能够量化道路的准备情况，以支持自动驾驶车辆的部署和运营。通过将ADASTEC的L4自动驾驶软件平台flowride.ai与AV-Readi 工具集成，有助于定义行业标准，并在全球推动实施自动驾驶公共交通解决方案。近日，AECOM为AV-ReadiTM工具申请了一项专利，以进一步支持该工具的研发和部署。

Ghost将多模态大语言模型引入自动驾驶

据外媒报道，消费类汽车可扩展自主软件供应商Ghost Autonomy宣布获得OpenAI初创基金（Startup Fund）500万美元的投资，用于将大规模、多模态大语言模型（MLLM）引入自动驾驶。这些资金将用于加速基于LLM的复杂场景理解（城市自治所需）的持续研究和开发。截至目前，新投资使该公司的总资金达到2.2亿美元。Ghost的平台允许领先的汽车制造商将人工智能和先进的自动驾驶软件引入下一代车辆，以及现在可以通过MLLM扩展功能和用例。Ghost目前正在通过其开发团队积极测试这些功能，并与汽车制造商合作，共同验证新的大型模型并将其集成到自动驾驶堆栈中。

南洋理工大学开发新仿真软件防止起火

据外媒报道，南洋理工大学（NTU）和储能解决方案公司Durapower的研究人员开发出新仿真技术，利用人工智能来降低起火风险，从而提高锂离子电池的安全性，以用于个人移动设备和电动汽车等。该软件系统采用反映实际电池情况的“数字孪生（digital twin）”，可以准确、实时地监测并预测长达五年的电池状况。该起火和爆炸管理系统（FXMS）能够预测何时需要更换可能发生故障的电池包，准确率高达95%，预测时间可提前达六个月。该技术的优势之一是可以将电池寿命延长高达50%。这意味着电动汽车的电池可持续使用长达12年，而正常情况下的使用寿命约为8年。

（注：本文内容及图片均来源于网络公开信息，如涉侵权请联系删除。）

2023年11月第一周2023年10月第四周2023年10月第三周2023年10月第一、二周2023年9月第四周2023年9月第三周2023年9月第二周2023年9月第一周2023年8月第五周2023年8月第四周2023年8月第三周2023年8月第二周2023年8月第一周2023年7月第四周2023年7月第三周2023年7月第二周2023年7月第一周2023年6月第五周2023年6月第四周2023年6月第三周2023年6月第二周2023年6月第一周2023年5月第四周2023年5月第三周2023年5月第二周2023年5月第一周2023年4月第四周2023年4月第三周2023年4月第二周2023年4月第一周2023年3月第五周2023年3月第四周2023年3月第三周2023年3月第二周2023年3月第一周2023年2月第四周2023年2月第三周2023年2月第二周2023年2月第一周2023年1月第四周2023年1月第三周2023年1月第二周2023年1月第一周2022年12月第五周2022年12月第四周2022年12月第三周2022年12月第二周2022年12月第一周2022年11月第四周 2022年11月第三周2022年11月第二周2022年11月第一周2022年10月第四周2022年10月第三周2022年10月第一、二周2022年9月第五周2022年9月第四周2022年9月第三周2022年9月第二周2022年9月第一周2022年8月第四周2022年8月第三周2022年8月第二周2022年8月第一周2022年7月第五周2022年7月第四周2022年7月第三周2022年7月第二周2022年7月第一周2022年6月第四周2022年6月第三周2022年6月第二周2022年6月第一周2022年5月第四周2022年5月第三周2022年5月第二周2022年5月第一周2022年4月第四周2022年4月第三周2022年4月第二周2022年4月第一周2022年3月第五周2022年3月第四周2022年3月第三周2022年3月第二周2022年3月第一周2022年2月第四周2022年2月第三周2022年2月第一、二周2022年1月第四周2022年1月第三周2022年1月第二周2022年1月第一周2021年12月第五周2021年12月第四周2021年12月第三周2021年12月第二周2021年12月第一周2021年11月第四周2021年11月第三周2021年11月第二周2021年11月第一周2021年10月第四周2021年10月第三周2021年10月第二周2021年10月第一周2021年9月第五周2021年9月第四周2021年9月第三周2021年9月第二周2021年9月第一周2021年8月第四周2021年8月第三周 2021年8月第二周2021年8月第一周2021年7月第五周2021年7月第四周2021年7月第三周 2021年7月第二周 2021年7月第一周2021年6月第四周 2021年6月第二周 2021年6月第一周2021年5月第四周2021年5月第三周2021年5月第二周2021年5月第一周2021年4月第五周2021年4月第四周2021年4月第三周2021年4月第二周2021年4月第一周2021年3月第四周2021年3月第二周2021年3月第一周2021年2月第四周2021年2月第二、三周2021年2月第一周2021年1月第四周2021年1月第三周2021年1月第二周2021年1月第一周2020年12月第五周2020年12月第四周2020年12月第三周2020年12月第二周2020年12月第一周2020年11月第四周2020年11月第三周2020年11月第二周2020年11月第一周2020年10月第四周2020年10月第三周2020年10月第二周2020年10月第一周2020年9月第四周2020年9月第三周2020年9月第二周2020年9月第一周2020年8月第四周2020年8月第三周2020年8月第二周2020年8月第一周2020年7月第五周2020年7月第四周2020年7月第三周2020年7月第二周2020年7月第一周

点击“阅读全文”，进入网站　　普通人用电脑手机上网想要加强网络安全，学会开启防火墙、不乱点链接、创建密码一定要大于9位数，且包含字母字符等，并且不要很多账号都设一个密码，每个账号密码都要不一样，且不要有关联性、凡在网络上涉及验证码与转账的一定要确定后再进行下一步。

这些都是基本的，普通人能够做到这些基本上不会出现严重的信息泄露或者账号被盗取。

另外一些就是比较专业的，诸如服务器安全等等，是需要比较大的网络知识储备的。

不过，网络世界没有隐私，使用网络或多或少会泄露一些个人数据的。

最后，附一张网络安全工程师学习指南来源见图片

2018年，针对制造业、能源等重要行业的勒索软件及挖矿病毒攻击事件等层出不穷；面对已经到来的2019年，在新技术、新应用的不断刺激下，网络安全依旧面临严峻考验。

2019年，5G时代的威胁演变，以及人工智能、区块链、智能工业、智能家居、云基础设施等热门技术所面临的新威胁，让数据攻防“战争”全面升级：

近期，世界最大石油公司之一——Pemex 遭遇了 DoppelPaymer 勒索软件袭击，沦为勒索软件攻击受害者。

这家营业额 1,200 亿美元的墨西哥石油巨头表示，攻击者索要 565 个比特币，相当于约 500 万美元。周末时该公司被迫关停境内许多 IT 系统，但拒绝按攻击者的要求在 48 小时内支付赎金。

该勒索软件是安全公司 CrowdStrike 于今年 7 月 发现的 BitPaymer 勒索软件的分支。之前的受害者包括智利农业部

对于很多企业和个人来说，或许依旧抱着侥幸心理，觉得这种大型病毒勒索不会找上自己。

那就大错特错了！

看看国内知名手机生产销售服务商——华为最近是如何做的：

11月17日，华为在海外官方网站正式发布了关于网络安全的立场声明。声明中指出，此文件旨在帮助政府、行业和其他利益相关者正确分析问题并找到有效的解决方案。

华为表示，信息和通信技术(ICT)正在释放数字经济的巨大潜力。然而，数字技术的快速发展也带来了新的安全挑战。安全是在数字世界中建立信任的关键，也是确保ICT产业对经济产生积极影响的关键。当今的网络安全日益与许多问题交织在一起，有时很难看清真相。

在这种复杂的情况下，我们应该让事实说话，因为这是最理性的做法。华为鼓励数字生态系统中的所有利益相关者以理性、客观和基于证据的方式评估风险。如果我们把注意力集中在供应商的原产国等不相关的因素上，只会使安全问题的评估更加复杂，导致无法控制的结果。因此，我们将无法实现我们的安全目标。

声明中指出，网络安全涉及诸多因素和利益相关者。全行业、全社会的协作方式对于加强每个人的系统网络安全治理至关重要。以下行动将大大有利于网络安全:

1）各国政府和行业组织应共同制定统一的网络安全标准。这些应该是技术中立的标准，平等地适用于所有公司和网络。电信行业在开发共享标准以促进电信网络的连续性、可靠性和互操作性方面有着悠久的历史。

2）一旦我们有了统一的网络安全标准，我们就应该全面接受独立的核查。信息通信技术行业需要为所有行业和企业建立第三方网络安全核查机制。这将确保任何与网络安全相关的结论都基于事实，而不是感觉。可验证的事实和统一的验证标准反过来将导致客观的结果，使组织能够根据其安全需求来比较和选择产品。

同时，华为也表示网络安全是华为的首要任务。我们致力于支持客户网络的安全和稳定运行。过去30年，华为在全球170多个国家和地区开展业务，为全球30多亿人提供服务。我们的设备从未造成大规模的网络故障，我们也从未经历过任何严重的网络安全漏洞。

华为将继续为电信和ICT行业提供安全和高质量的服务。

同日，华为在慕尼黑举行了“秘密会议”：

邀请了业内最出名的移动终端研究人员及黑客等，并在大会上正式推出“手机漏洞悬赏计划”。

为那些能在已推出的移动设备或未来将要推出的移动设备上找出漏洞的研究人员或黑客提供资金奖励。

旨在向其他政府表明其愿意与黑客和安全研究人员合作以增强其产品的安全性，从而打消其他国家对华为设备安全性的担忧。

网络安全与每家企业和个人都息息相关，提高网络安全意识，尽早构建网络安全防护体系，是华为，也是每一个相关企业的首要任务！

面对层出不穷的网络安全漏洞所引发的网络安全事件，葫芦娃集团提供网络安全一站式解决方案，其涵盖漏洞扫描、云安全、云监测、渗透测试、应急响应、代码审计、风险评估、堡垒机、防火墙等全领域安全产品和等级保护测评服务，全方位助力互联网安全发展，加快保护信息安全，保障网络安全。

如您有相关需求，请随时联系我们：

联系电话：0571-56260789（56260787）

官网网址：http://www.hlwtrust.net

【版权提示】葫芦娃集团尊重与保护知识产权。若发现平台文章/图片存在版权问题，请及时与我们联系并处理。

【免责声明】部分内容/图片转载自其他媒体，目的在于传递更多信息，并不代表葫芦娃集团赞同其观点和对其真实性负责。

任何事物都具有双刃剑的性质，互联网也不除外。

在日新月异的今天，互联网为人们带来的便利伴随着威胁，网络攻击就是其中之一。

如今，随着网络攻击技术的发展，越来越多的企业个体遭受攻击，导致了十分严重的后果，如何抵御网络攻击、保障服务器高防御是我国乃至全球所要关注的问题。

以目前的情况来看，我们并没有办法彻底根除网络攻击。尽管如此，仍然能够通过不断地加强服务器高防御能力，来提高对企业个体的服务器的网络安全保障。

因此就这个问题，今天我们来谈一谈七种提高服务器高防御的技巧。

1. 防火墙

其实从零几年开始，防火墙就一直被作为家庭企业等领域所配置的网络安全保障手段之一。诸如瑞星杀毒、360安全、金山毒霸等，为我们的服务器提高了不少安全性。

在高防机房的端口处也会架设防火墙，当然了，现在许多基于硬件或软件的防火墙也都推出了相关产品。

对如何提高服务器高防御而言，防火墙的必要性是存在的：防火墙非常适用于小型的通过漏洞渗入的木马以及电脑病毒攻击，能够维护日常的小打小闹，但也要明白一个道理，免费的事物绝对不是最好的，尤其对于企业来说，除了防火墙之外，还需要根据自身的业务种类，来挑选合适的高防服务业务来抵御更大的攻击。

2.系统补丁

不论是Windows还是Linux，任何操作系统都有漏洞，及时的打上补丁避免漏洞被蓄意攻击利用，是服务器安全最重要的保证之一。

3. 关闭不必要的端口服务

在安装一些服务器系统和程序时，通常会伴随了一些额外服务，这不仅会占用系统资源，还会增加系统的安全隐患，不利于服务器高防御的提高。

在安装系统程序时，最好将这些额外服务在之后关掉；同时，一段时间内完全不会用到的服务器端口服务也可以完全关闭，防止攻击者通过这些渠道进行攻击，提高服务器的高防御值。

4. 安装网络杀毒软件

在1中我们提到了很多网络安全公司的品牌名，除了能够提供防火墙功能之外，它们本身就是一个杀毒软件。

除了通过流量和带宽资源进行攻击的手段之外，还有一些电脑病毒和木马，比如2008年发生在我国的著名电脑病毒事件“熊猫烧香”。

这就需要在网络服务器上安装杀毒软件来控制病毒传播，并且有必要定期或及时升级杀毒软件，开启自动更新病毒库程序。

5. 设置账号和密码保护

很多程序员因为技术不过硬或者粗心大意，在账号密码界面的编写上可以说是漏洞重重。

目前有一种攻击手段是，通过账号密码界面漏洞来渗透网站数据库，从中获取客户的账号密码，进而通过对方输入账密后入侵客户个人服务器，对客户的隐私造成极大威胁。

账号密码本来是为了保障用户网络安全架设的第一道防线，结果成为了容易被攻击的存在。

针对这一情况，对服务器系统管理员的账号和密码进行管理是提高服务器高防御的一种重要措施。

6. 定期对服务器进行备份

一般放置在武汉江夏区五里界BGP高防机房的服务器是不会宕机的，然而不能保证其他机房的服务器能够一直稳定在线。

为防止措不及防的服务器宕机或用户操作失误所导致的无法使用，因此必须对系统进行定期备份。

在五里界BGP数据中心，机房完善了一套基于云计算技术的备份系统。除了对服务器进行定期的备份外，还设置了镜像记录，实时记录服务器数据。同时，定期将重要系统文件数据存放在不同的服务器上，以便出现服务器高防御崩溃时（通常是硬盘出错）能够不丢失数据，并及时恢复系统正常运行。

7. 服务器监测系统日志

通过运行系统日志程序，服务器系统会记录下所有服务器上的使用状况，包括最近的使用的账号、登录时间、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，企业个人可以知道是否有异常现象，也可以实时远程在线查询。

如何提高服务器的高防御、保障企业个人的网络安全问题，五里界BGP数据中心一直在思考。在一些特殊的行业领域中，能够通过配置高防业务（比如高防IP、高防服务器、云WAF等），来保障自己的服务器安全。

电网每 14 秒 就发生一次勒索软件攻击；56%的公用事业单位称，在过去 12 个月中至少遭遇过一次导致私人信息丢失或 OT 环境断电的攻击；46% 的公用事业单位对恢复电网正常运行的准备程度一般或很差 ；只有 2% 的IT预算被用于安全方面；70% 的员工不了解网络安全。

作为关键基础设施，对社会和经济的运行至关重要的配电系统，面临着如此巨大的网络安全问题，因此，如何为配电公司提升网络安全，是个亟待解决的问题。在物联网带来的风险和利益之间取得平衡，提升应对人为的黑客攻击和IT/OT环境突发事件的能力，是为数字化电力基础设施制定完善网络安全战略的关键。

而网络安全的应对之法，施耐德电气提出了自己的见解：应该将产品开发流程作为网络安全的起点。为此，施家遵循IEC 62443 核心标准，将网络安全融入产品的设计之中，形成了贯穿产品设计、系统部署、技术合作和全生命周期服务的网络安全整体解决方案。

保障网络安全的关键，在于落实四个方面的控制：许可

在这一环节，需要以网络和物理方式管理对运营系统和信息的访问。施家的CAE（网络安全管理专家）支持安全配置和用户管理，能在系统层面实现一致性；同时，作为远程连接到OT系统的高度安全接口，它可以“一夫当关“，帮你确保远程访问的安全。

2、保护

让具体保护措施成为运营系统的一部分，有助于长期有效保护。施家基于“始于设计的安全”理念，以遵循IEC62443-4-1和IEC62443-4-2安全实施标准以及IEC62443-3-3标准的各类型产品，帮你铸就应对攻击的“钢筋铁骨”。

3、检测

面对网络安全威胁，绝不放过！得益于SE OT仪表板和EcoStruxure™电力认证系统的维护工具，施家提供的CAP（网络安全应用平台）作为一个模块化平台，能够睁大“火眼金睛”时刻监测运行环境，帮助检测和报告威胁。

4、响应

在面对攻击时，依托开发程序与系统建立的网络事件快速响应机制必不可少。在此，施家提供了在线的支持门户界面，帮用户“耳听八方”闻风而动，快速管理漏洞和响应事件。

网络“威胁”无时不在，覆盖从产品设计诞生到项目退役的全生命周期，才是电网网络安全保护的大势所趋。因此由施家提出的端对端交付，将全生命周期保卫网络安全：

首先，从产品层面，施家将网络安全覆盖至产品设计和生产的每一个步骤。

而后，从系统层面，在设计、施工、测试、调试等步骤中将施家产品和第三方进行整合。

最终，从服务层面，自解决方案交付客户至项目退役的整个运营周期内，始终保持其网络安全性以应对不断变化的网络风险，同时确保符合最新的网络安全标准和法规。

依托这些原则和步骤，施家得以在整个生命周期内为电网客户提供全面的支持和保障，为电网安全构筑起一道网络安全“保护层”。

在保障电网安全、可靠性的基础上，施家期待与更多电网用户实现绿色能源管理理念的“心意相通”，通过构建新型电力系统，不断推进“双碳”目标的实现。https://xg.zhihu.com/plugin/2407b1988ea4ee8b667294025757ba44?BIZ=ECOMMERCE

很高兴认识你！这是 @施耐德电气 的官方知乎账号。施耐德电气是能源管理与自动化领域的专家，引领数字化转型以实现高效和可持续。我们的业务遍及全球100多个国家。另外，我们是法国企业，并且我们不卖钢笔：）

没有网络安全就没有国家安全，网络安全的加强需要每个人的参与。

（一）个人角度

1、为电脑安装杀毒软件，定期查杀病毒；

2、不随意点击来历不明的链接；

3、软件要从官方渠道进行下载；

4、不在连接公共网络的状态下付款；

5、密码设置多样性，增加密码的复杂度；

6、收发快递注意保护好自己的个人隐私；

7、下载国家反诈中心app。

（二）企业角度

1、有条件的企业建议设置自己的安全团队维护公司内部信息财产安全，如果没有条件也可以与安全公司签订合同，请安全公司的专业人员定期对公司网络进行审查和危险评估。

2、对公司内部员工做网络安全培训，普及网络安全防护知识，以及遇到网络安全问题时的防御措施。

3、优化企业防火墙。

4、如果本身就是安全公司，希望贵司可以引进技术人才，研发先进技术产品，更好的服务于人民。

（三）国家角度

如今的网络安全关乎国家的政治、经济、文化、军事等方面。国家发展，教育为始，国家支持各大高校设置网络安全相关专业，面对社会对网络安全人才的强烈需求，有关专业院校也做出了及时的调整，不仅增加了相关专业的招生人数，同时还积极与专业机构进行合作，增加学生的实践机会，从根本上解决人才稀缺问题。与此同时，国家还出台各项法律法规，从根源切断网络安全问题。

网络安全事关每个人，从自身做起，共同促进网络安全的发展。　　数字时代高速发展，5G、新基建、数字化转型让网络安全场景进入多元化发展期。数字技术快速迭代，元宇宙入局，万物紧密相连，显现出数字世界与物理世界的高度融合的新态势，安全威胁也从数字世界洞穿到物理世界。作为数字时代的基石，网络安全也逐渐成为大家关注的重点。

数字时代之前，信息系统世界与物理世界是相对隔离的状态，即使系统出问题也不过是数据丢失。当前，因为数字世界和人类生活的绑定，数字世界的影响会反映到日常生活中，而数字时代所有数据的流动和规则，最终都会在软件层面上进行流动，所以软件才是数字时代血液流动的最基础的载体，软件安全的重要性也上升到新的高度。

从传统来讲，供应链指的是一个由各种组织、人士、信息、资源以及行为组成的将商品或者服务从供应者转移到消费者的系统。因此引申而来，软件供应链就是一个通过一级或多级软件设计、开发阶段编写软件，并通过软件交付渠道将软件从软件供应商送往软件用户的系统。将两者的各个环节进行对照，可以发现软件供应链和传统供应链的重要环节确实一一对应，其相同点与不同点如下：

另外从供应商体系来看，在软件供应商的系统结构中有一个主要供应商，在供应软件时会有几种情况：第一，找二级供应商购买软件；其次，直接复用之前生产的软件，或打包开源软件直接复用；第三，选择自己开发软件，要么外包给国内或国外开发者，要么内部自己开发。而传统供应链的某个物品也是由多级供应商的供应系统保障完成，因此软件供应商的系统结构和传统供应链非常相似，而且过程都很复杂。

Gartner表示，现代软件大多数是被“组装”出来的，不是被“开发”出来的。在软件开发过程中，大量代码来源于开源代码或开源组件，且大量开源组件被复用。据Sonatype《2021年开源安全和风险分析》报告显示，98%的代码库包含开源代码，全球开放源代码供应年环比增长20%，开发者下载的开源组件同比增长73%。据《开源产业白皮书2019》显示，67%的代码库包含某种形式的开源代码许可证冲突，33%的代码库包含没有可识别许可证的开源组件。从开源组件的使用数据以及开源协议现状来看，现代软件构建的过程本身就会伴生质量与安全风险。除此之外，对国外产品、组件产生较强依赖，也会存在断供风险。2019年7月，GitHub托管平台就曾因美国贸易管制政策，限制了克里米亚开发者的账户，导致其托管的开源代码无法访问。

近几年供应链安全事件频发，给安全行业带来了巨大影响。尤其近期大家熟知的log4j漏洞，通过对log4j的1-4层依赖关系进行统计分析，总共有超过17万个组件受到影响。供应链安全受到全球的强烈关注。今年初白宫召开了开源安全峰会，谷歌、RedHat、GitHub等科技巨头均有参与并表示支持。白宫的一名高级官员指出，这次开源峰会是对美国总统拜登在2021年5月12日发布的网络安全行政令工作的继续。该行政令要求，只有使用安全的软件开发生命周期实践的且符合联邦具体安全指南的企业才能向联邦政府出售产品。该行政令还要求联邦厂商使用SBOM，列出具体的软件组件。SBOM有助于在严重漏洞披露后减少手动的识别流程。

事实上，软件供应链安全问题的成因，不仅仅是一个技术问题，还有商业利益驱动的因素。比如黑客会尝试攻破系统以向商家勒索巨额赎金。我们常说将安全左移，其实攻击也可以左移，就是将攻击对象从企业转向供应链，这样就会出现攻守失衡，攻击方会有更多攻击点采用，而防守方因为对供应链整体管控力度不足，防守会很被动。这也使得攻击者可以用较低的工具成本攻破对方，为攻击行为提供了天然的扩散渠道，具有非常高的攻击价值。另外，软件本身的特性也存在较大风险：首先是复杂性，随着软件规模的不断增加，复杂性和编码难度提高，出现漏洞的概率就会增多；其次是复用性，安全缺陷将随着软件的不断被使用，呈现出雪崩式的传播；最后是不可见性，会导致整个软件供应链的防护变得艰难，因为不清楚组件如何与实物去对应。

尽管已经知道供应链安全风险存在，但企业在实际进行软件供应链管理时，仍然面临许多难点：企业应用程序中使用了哪些组件？这些组件对企业有什么影响？企业使用的组件有漏洞和质量问题吗？企业使用的组件合规吗？企业中谁来管理组件？我们在前面讲过软件组件的层层依赖，一个组件会产生十几万的组件依赖关系，要了解企业应用程序中的组件构成，了解其中的漏洞风险，以及这些组件对企业的影响是件很困难的事。而且大多数中小企业都没有专门的法务人员，没有充足的开发人员，他们不一定能懂得专业的法律问题，尤其是开源协议之间的冲突。另外使用组件之后还需要升级维护，需要有人进行管理。因此，尽管大多数企业都知道软件供应链会有很大风险，但是由于企业看不见其中蕴含的风险，摸不清软件的组件构成，也没有专业人员管理组件，所以企业仍旧做不好软件供应链的安全治理。

软件供应链的治理，首先应该知道软件的构成，也就是软件材料清单SBOM。目前在行业中常用的有三大标准，分别是OWASP CycloneDX、SPDX和SWID。通过SBOM，可以把软件中的构成组件清晰地标示出来。这里给大家介绍一款免费生成SBOM的工具——开源网安SBOM平台，大家感兴趣可以体验一下。

在软件开发生命周期中，我们知道软件安全需要左移，要从需求一直到部署运维整个生命周期完成安全保障，因此开源组件也需要在整个生命周期里应用SBOM，获得并确认软件的开源组件清单，在软件开发生命周期中持续监测、持续评估、持续缓解和持续维护。

从软件供应链安全本身来讲，需要从三个维度来保证它的安全性：首先，从软件供应链的主要环节来看，它的保障需要哪些实践；其次，从供应链安全的过程能力来说，把每一个实践都看成是一个过程的话，它对应的工具方法、流程、人，包括软件安全开发专业人才的培养，也要纳入到整个体系里面去；最后，从软件供应链安全生态来讲，它不仅仅是某个企业能解决的问题，整个供应链条会涉及很多相关方，甚至包括开源社区，开源社区不像商业软件有比较好的管控方式，它存在不稳定性。所以软件供应链安全除了要从本身的生命周期来考虑，还要从整个生态来考虑，在所有环节里的各方可能都需要做出一些动作，包括国家层面的政策引导、开源社区增强开源项目的安全审计、企业对于专业人才的培养等等，其实都需要在软件供应链安全的框架上落实。

软件供应链全生命周期的解决方案，我们从采购、运维、下线这三大环节入手。

采购环节。主要风险点有三个，第一个是企业资质审核，就是要考虑供应商是否可持续提供服务。其次是软件安全检查，包括第三方组件、开源代码、应用容器、软件质量、开源框架、代码安全、组件知识产权等，是否满足公司的要求。第三个是软件安全成熟度评估，就是在供应链生命周期内，是否可持续交付安全的产品。

资质审核的要点，主要是从持续提供服务的角度进行审核，有一些通用门槛，包括成立年限、规模、成功案例、负债比等；若是核心供应商，则还要审核是否有高新技术企业资质、行业专家数量、专利数量、行业排名、500强客户服务数量等。其次，软件安全检查就是评估产品质量，首先供应商的产品必须包括产品BOM，并进行备案，因为一旦发现漏洞要快速修复时，需要梳理出软件供应链所有影响的依赖包，没有备份则很难知道要怎么改。另外还要包括知识产权合规说明，依赖和环境安全配置，针对重要及核心产品，还应包括安全中间件、数据资源保护、资产隐蔽防护等。供应商的产品不能包含病毒、后门、恶意代码、代码漏洞、隐藏功能、第三方组件漏洞、无许可信息等。而且，对供应商提供的产品还要进行安全检测，首先是软件成分分析，包括软件的SBOM和应用的组件及其安全性、合规性，然后再进行白、灰、黑盒测试和渗透测试等。最后，针对软件安全成熟度评估，通过S-SDLC软件安全成熟度评估模型，在策略与监管、能力、S-SDLC触点、部署与运维等四大领域，对供应商软件安全成熟度进行完整评估。最后，还必须和供应商签订安全协议，明确供应商所提供服务信息的安全红线，不允许出现的行为等。

运维环节。运维实际上是对原有软件的升级、漏洞响应和验证，主要风险点有三个：软件升级结果检查，就是软件是否能正常升级；软件漏洞应急响应，是否后知后觉；符合性检查，就是产品交付运行后，是否符合供应商承诺。

首先是软件升级结果检查，通过安全测试工具将升级前的测试环节重复一遍，验证产品和补丁的完整升级，产品数据升级有无遗漏，产品功能完善、没有新增BUG。其次，我们知道软件基本不可能没有漏洞，重要的是有漏洞后要及时响应，要快速准确全面地监控它的状态，因此在供应链平台首先需要进行软件成分分析，对供应商列表和供应商资产列表不断进行监控和评估。同时，结合外部情报服务，如外部安全应急响应团队、与安全情报组织达成合作、漏洞悬赏和众测等，都需要加入到整个环节中。并且还要用安全测试工具链对供应商的安全承诺，进行比较完整的符合性评估。

下线环节。软件安全下线也会面临一些风险，比如产品下线后，服务接口、防火墙接口等服务未下线，会导致风险的出现。像很多护网行动打穿的漏洞，其实都来源于之前遗留的系统。另外，针对不活跃的项目没有进行风险管控，开源组件一旦不活跃，也就意味着这个组件到了生命周期的尽头，会产生不可控的风险。

针对下线环节，需要从产品安全下线和不活跃开源组件两方面来治理。产品安全下线治理，就是软件下线也需要遵从安全下线流程。首先，使用软件安全扫描工具，对即将下线的产品进行审核，出具对应的安全审核报告。其次，对即将下线产品中的隐私信息进行合理化管理。最后，官宣产品下线，防止被二次使用造成损害，影响企业形象；产品下线后，对应的服务接口同步下线。另外，开源社区不同于商业企业，作为一个公益性组织，它的稳定性和可持续性会受到一些挑战，开源项目不活跃也就意味着无法及时修复出现的漏洞，因为没有专业人员进行维护。同时会出现老旧开源软件版本仍在被使用的情况，其中存在的威胁和漏洞仍会被恶意利用。而且开源项目不活跃也更容易被植入恶意代码，因为缺少维护，当项目仍被利用就会面临安全问题。软件供应链安全的治理，不仅仅在于企业本身，还需要国家层面、开源社区、用户等多方的共同努力，才能构建一个完整的系统，有效保障软件供应链安全。而且单纯依靠技术工具远远不够，培养专业相关人才，完善国家法律法规，都会有力推动软件供应链的安全治理。

---

随着数字化转型，各行业如何应对潜在的网络安全问题？的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于而且开源项目不活跃也更容易被植入恶意代码、随着数字化转型，各行业如何应对潜在的网络安全问题？的信息别忘了在本站进行查找喔。