汽車開源軟件的「排頭兵」——豐田首次搭載AGL

儘管雙方的爭論，在今天並無成爲現實。但它暗示了當今汽車工業所面臨的複雜問題。汽車已經從傳統四個輪子移動工具變成了鏈接設備、導航、娛樂和其餘功能，經過信息娛樂系統，這些系統爭相將智能手機的功能以及更多功能帶到車上。

據報道，53%的消費者但願他們的汽車提供與手機同等水平的技術，然而，製造商自身沒法以足夠的規模和速度生產足夠的軟件來知足需求。汽車製造商知道如何製造汽車，但他們也已經意識到他們不是應用開發人員。爲了幫助產生大量代碼，這些代碼將用於產生令消費者喜歡的應用程序，許多汽車製造商、供應商和技術公司已經走到一塊兒，彼此共享代碼。

這是開源軟件運動的承諾，它今年已經20歲了。開源背後的思想是容許開發人員利用他人編寫的代碼來構建更好的軟件，而無需每次都從新開始。重用由社區開發和維護的軟件的能力已經使開源代碼成爲軟件工業的重要組成部分，容許開發人員經過得到其應用程序的重要功能和特性並集中它們的功能來更快和更有效地工做。

開放源碼軟件，如Linus Torvalds的Linux於1991年發佈，在過去20年中爲開發人員提供了構建自有產品的工具，推進了咱們在過去20年中目擊創新的爆發。當今市場上的應用程序的代碼基礎60%到80%是開源的。

值得關注的是，汽車行業已經接受了這種模式。一個重要的倡議是在Linux基金會贊助下的汽車級Linux項目。他們統一的代碼基礎平臺已經吸引了包括豐田、本田、馬自達、甲骨文、亞馬遜等在內的成員。

他們的目標是幫助加速汽車信息娛樂系統代碼的開發，將傳統36到39個月的研發週期大幅縮短，將生態系統置於同一個屋檐下，全部人均可以從中受益。

今年早些時候，AGL發佈了Unified Code Base specification version 3.0，爲平臺成員的汽車廠商提供基礎指南以便於將其裝備在各類新車型中。8月初，包括遠程通信服務提供商Spireon、中國汽車軟件廠商東軟等6家公司加入了AGL成員行列，至此成員數量達到了130家。

已經孕育多年的AGL今年首次出如今2018年款豐田凱美瑞上，這也是該車載平臺首次投入商用。豐田計劃在包括面向北美市場的Lexus等多款車型中安裝兼容UCB的IVI系統。

雖然信息娛樂是起點，該項目但願擴展到其餘領域的車輛軟件，包括汽車互聯，遠程信息技術、擡頭顯示，主動安全和自動駕駛。然而，在這些雄心勃勃的計劃推動以前，行業將不得不繫上「安全帶」，準備應對可能致使他們轉向的「重大事故」。

對黑客的恐懼，尤爲是經過信息娛樂系統侵入，對汽車擁有者來講是一個嚴肅的事情。想一想本身開車的焦慮程度：當你以每小時70英里的速度行駛時，信任是相當重要的。

而開源軟件以其明顯的優點卻同時也給開發者帶來了安全挑戰。包含開放源碼庫和框架或組件的軟件的一個主要問題是安全建議和數據庫（如國家漏洞數據庫）發佈的已知漏洞，以便當發現漏洞時用戶可以執行修復。問題在於，黑客也能夠看到這些已發佈的漏洞，而沒必要本身進行查找漏洞的工做。

保護開源代碼不是一個簡單的任務，由於關於漏洞的信息分佈在項目和源的「集市」（Linux爲表明的模式。源代碼在開發過程當中，任何人均可以參與開發、構建和檢查。）中，而不是像咱們看到的大型商業產品那樣，分佈在一個單一的「大教堂」（軟件的開發過程由一個專屬團隊掌控）中。

另一大挑戰就是對產品中的開源組件的時刻跟蹤，讓開發人員使用必須替換的易受攻擊的開源組件，減慢開發過程並增長成本。專爲專有軟件代碼設計的應用程序安全測試工具不適用於開源組件。企業須要可以從開始到結束控制其軟件開發的解決方案，排除易受攻擊的開源組件，並在部署後發現新的漏洞時警告它們。

最典型的案例就是2017年美國信用機構Equifax遭黑客入侵，利用Apache Struts 2開源組建中的已知漏洞竊取了超過1.46億人的我的可識別信息。Equifax黑客事件也位列史上罕見大型數據泄露事件之一，公司沒有意識到其web應用程序中正在使用易受攻擊的開源組件，而且沒有及時打上補丁以免受到攻擊。若是像AGL這樣的項目會成功，汽車工業將繼續參與代碼共享，那麼它也須要解決如何保證其軟件安全的問題。

同時，必須作好「隨時爆炸」的風險。

成本是擺在汽車製造商面前的一塊大石頭。豐田但願簡化開發過程，同時使其系統與其餘平臺更加兼容。更大的兼容性意味着更多的定製，而且經過開源系統，這種定製能夠更快、更低的成本實現。

新的開源系統（AGL）沒有解決的一個問題是黑客攻擊的可能性。考慮到當前的計劃是將平臺受權給不使用遠程鏈接的車載系統，可能沒有必要擔憂。2018年4月，360智能網聯汽車安全實驗室發佈的《2017智能網聯汽車信息安整年度報告》中指出，「刷漏洞」已經成爲攻擊智能汽車的最新手段，智能汽車安全漏洞開始受到車廠界和安全界的廣泛關注。

對於可能的安全漏洞，更多的汽車製造商也在行動起來。8月12日，馬斯克在推特發佈消息，特斯拉計劃向其餘汽車廠商開放汽車安全軟件的源代碼，旨在經過衆人之力，提高汽車的安全性。

與此同時，通用汽車近日發佈了一項高額的漏洞懸賞計劃，要讓程序員們爲其挖掘潛在的網絡安全問題和產品的潛在弱點。這些行動的背後，是近年來軟件漏洞在汽車廠商召回因素中的比例逐年上升。汽車行業首次因黑客入侵風險大召回當屬2015年菲亞特·克萊斯勒集團在美宣佈召回自由光等140萬輛汽車，緣由是車輛搭載的Uconnect車載系統存在軟件漏洞，可能被黑客趁虛而入控制汽車。

通用汽車公司於2015年在其OnStar汽車通訊系統中修復了一個相似的漏洞，該漏洞有可能讓黑客攻擊汽車。2016年，特斯拉被曝出軟件存在漏洞，經過這些漏洞，黑客能夠對ModelS汽車發起遠程攻擊。

2017年，一家網絡安全公司稱，現代汽車app存在漏洞，黑客可以遠程啓動現代公司的汽車。現代證明了這個漏洞的存在，此前公司在2016年12月8日對其BlueLink app進行了更新，結果使得黑客可以找到易受攻擊的車輛，並經過漏洞解鎖和啓動車輛。

2017年騰訊科恩實驗室對寶馬i系、X系、3系、5系、7系等網聯汽車進行了研究，證實能夠經過遠程破解車載信息娛樂系統、車載通信模塊等，獲取CAN總線的控制權，實現了自上而下的完整控制。

汽車上除了ECU的密佈，如今愈來愈多的ADAS技術被應用到汽車的安全駕駛中，但人們更多的關注點是在這些輔助功能的執行、決策的可靠性、安全性，或多或少的忽略了汽車在電子化、智能化的同時，也增長了遠程破解的風險。