不是的,Tier(控制器开发商)也必须进行TARA(威胁分析与风险评估)。
TARA不是一次性的工作,而是需要贯穿整辆车整个生命周期反复执行的过程。因为不断演化的网络威胁,可能在车辆从设计到报废的任何阶段发生。
因此,从概念阶段开始就要通过TARA进行风险评估,并以此为基础制定缓解计划,应用与验证安全功能,之后通过Re-TARA来确认风险是否得到了有效缓解。
重点在于:这并不是一个“一次完成”的流程,而是一个需要“持续进行”的闭环过程!
因此,不只是OEM(车辆制造商),Tier也必须将TARA实践内化为自身能力。
这个流程听起来是不是很复杂呢?请留言讨论!
