10 月 30-31 日，2024 汽车时代与装备发展论坛在苏州召开，政府诱骗，院士大众，装备、汽车及产业链企业高层皆聚，围绕"共筑汽车产业新质分娩力"年度主题，聚焦新时代、新装备、荣达态伸开久了研讨，探索装备制造与汽车产业的和会发展旅途。论坛由 1 场闭门会、1 场开幕大会、2 场特点举止和 4 场分论坛组成，搭建起国内首个聚焦"汽车时代与装备发展"规模的高端对接平台。其中，在 2024 汽车时代与装备发展论坛之面向全球车型研发的信息安全合规时代论坛上，小鹏汽车信息安全大众高汝富发表了演讲。以下内容为现场发言实录：

诸位诱骗，诸位嘉宾，公共下昼好！我是小鹏汽车的高汝富，在这里我共享的主题是"在信息安全合规条目下的整车研发落地实践"。

咱们小鹏汽车是以时代或者搞时代的公司，在研发方面咱们照旧不错去讲一些事情的，因为我看到在现场有一些友商或者说咱们的车企，还有咱们的一些参赛选手，我认为不错共享在咱们一个车企视角下，奈何把信息安全合规条目作念进咱们的整车研发里面。

我共享四个方面：

1、安全需求池。领先安全需求池是咱们信息安全团队里面常用的词，信息安全合规条目他是什么或者他能条目咱们作念什么。具体到咱们去实践的时候，咱们就需要有这么的一些材料去撑捏，它到底有哪些方面？

咱们会从一些端正的条例像咱们的国标，2155、2156 之类端正的输入，还有咱们整车的胁迫分析，还有里面的测试，还有供应上的行状安全监管，这些输入开头四肢咱们里面安全条目转换。

是以咱们会把这些条目模块化成咱们的一个信息安全合规条目的材料，现时咱们分红了四个大类等于咱们的硬件安全、期骗安全还有通讯安全、数据安全。将这些条目整合成一个材料之后，咱们需要落地的话，是要转换成一个具体的安全需求。

安全需求是有具体明照实施的对象、实施的圭臬、实施的一个周期或者咱们的决策。这种圭臬化的落地是需要咱们信息安全的团队和咱们的研发进行决策的落实、落地。临了酿成安全合规功能需求融会书。在这个融会书里面他有一个名词叫产物司理，现实上是咱们安全团队的一个扮装。

现实上安全他也不是卤莽一个合规条目，他更多亦然不错研讨到是一种安全的功能的收场，业务里面收场的安全才气。是以，我认为产物司理这个词用的是很好的。

在咱们具体某个需求落地的时候，他可能更多要触及到因为   同期研发是荒芜十几种的车型在同期研发的，咱们治理了某一个车型上的某一个需求，咱们需要把这个东西扩展到咱们不同的一个车型平台。那这是咱们公司平台化的一个计谋。

主要咱们在某个车型上收场了某种功能，这个平台化的零部件会扩展到咱们的通盘其他车同平台的一些整车的研发。

临了不错将咱们的平台化才气，能够收场咱们车型的功能增长。这么的一个历程过来，咱们就酿成咱们我方的一个安全需求词，这面目咱们就不错知谈咱们要念念作念什么，作念到一个或者什么样的后果。

关联词，什么时候作念，奈何作念进去，这个是需要息争咱们整车的研发的生命周期的。

我会浅易讲一下，咱们整车研发一般是从 G10-G0 的这么一个法典。G10 更多是在一些市集的认识的考证，或者一些市集的定位或者说一些营销和外不雅缱绻，这是相比初步的阶段。

在 G10、G9 的法典，咱们信息安全更多是评估一些安全端正的影响，或者说咱们一个相比高等层面的一些个性需求相比高一些定位的东西。这么一些磋磨和材料，到委果落地的时候，咱们硬件的选型、整车电子架构的证据，再扈从这么一些功能增长表的证据，安全需求也会运转随着咱们的业务进行一些导入，进行一些决策确切定。

确定好安全需求，有一个评审机制，来运转进行。同步也会有一个验收周期，咱们自动化器用开垦同期也在开展。到了咱们 G6、G5，ET1 的阶段，这是磨砺车运转雅致上车的阶段，这亦然一般硬件需求运转落地的第一个法典。这里面也会触及到工场，工场运转试制一些迫切零部件，运转研发干涉测试，这亦然触及到文凭密钥体系，亦然在 G5 运转进入一些考证测试。

之后是 G1（SOP）更多都是软件层面的功能开垦，和咱们 G7 之前差未几。每个都有需求导入的历程，让咱们之前的一些安全需求能够实时去更新、录入，收场需求上传。

在这么一个历程下，咱们能够有一个历程紧随着整车节律统统录入，这么一个保险不错进入下一个阶段。安全测试，夙昔安全测试有业务功能安全测试，总车之后要信息安全测试。之前测试体系分割开来，专科组里面先我方测试一轮，到总车集成的时候，把软件包放到整车上，信息安全才运转测试。这么一套样子会出现信息安全的考证，和咱们的功能是相比分割、清静开来，导致咱们的一些问题发现，可能会相比有一个滞后性。

是以，咱们现时信息安全往这个方面但愿和业务愈加息争细致少量，是以咱们提议了安全左移的认识。把咱们一些安全合规测试才气，移动到业务功能测试里面，咱们代码构建平台的安全扫描才气、台架业务测试，自动化的才气都是信息安全去提供一些安全开垦才气，给到咱们的业务方。

然后，咱们扮装定位从一个单纯测试，更多开垦到一些安全才气的进步，还有安全运营的责任。咱们的业务在之前莫得门径指引或者莫得测试指引下，好多时候业务并不了解什么是信息安全，更多热心是一些圭臬、门径。

是以说，咱们信息安全要把这么一些合规条目整合到业务里面，必须更新测试门径，运力给到业务方，让他们测试的时候，就也曾有这么一个体验和实践，来更好赋能到业务，让他们能够更好把一些问题提前炫耀，在里面进行一个闭环。

咱们信息安全这么的才气在这么一个提前迭代进步，而不是像之前的样子那样，咱们发现了问题，然后提议，这个时候其实也曾相比晚的节点了，会影响整车开垦周期。

安全测试体系，举一两个例子，之前说到一些跨境流量测试，信息安全有圭臬咱们知谈哪些数据，可能触及到一些跨境 IP 的东西。咱们业务方并不知谈有这么一些端正条规的例子的测试，咱们知谈有这么一些端正的条目，业务方不知谈若何去落地。咱们有这么一个测试才气，研发出来跨境器用，里面安全资源的一些跨境检测器用，给到业务方。

咱们的业务朴直好对一些车积座舱系统等，能够触发总共业务功能，因为这是一个普通历程，每个软件指示的时候，总会作念一些功能打点的考证，偶合在这么场景下不错隐敝掉总共业务场景。跨境的剧本和业务里面的测试和会起来，不错统统隐敝掉跨境的飞快性或者说测试不全面性的问题。咱们的安整体系，跑通起来不错很好考证一些安全需求落实的情况。

现实上，在安全合规历程如若莫得临了的把关，或者临了一个证据键，给到信息安全，这么一些安全需求很有可能莫得落实、莫得落透顶。是以，信息安全在小鹏汽车是一个质地的把关，咱们亦然整车质地的一环。咱们新的业务，整车的法典鼓励，功能的增长，咱们云行状的上线，车机期骗的上架，供应商一些定点看管，都会触发这么一个业务历程。这是一个普通的业务历程，信息安全是其中的一环。在经过了一些安全评审，需求的导入、安全测试通过之后，咱们信息安全在这一步进行测试死一火的把关，最自后证据咱们的安全需求是否也曾落实，是否也曾落地。

四肢这么一个卡点，来保险整车软件的质地发布的评审，咱们的云行状上线评审，咱们 APP 上架评审和 SOR 审批上的历程。因为小鹏汽车里，咱们自研的规模诋毁常大的。咱们自动驾驶，智能座舱，三电，这三大块很猛进程都是研发中心去进行研发。供应商方面，占比是相对相比少的。但信息安全，因为在有一个这么供应约定点历程里，咱们供应商进行定点采购的时候，就不错提赶赴知谈这个事情。咱们不错提前给供应商录入一些安全需求。面目颠倒早期的时候，就在咱们定点的时候，对供应商决策进行一个评审，进行圭臬证据，这么不错很好对咱们的供应商信息合规条目进行一个把控。

以上等于我说的这四部分，这是一个相比大的框架，息争在之前整车的 R155，小鹏汽车相比早的一批收场外洋的认证的这么一个企业。在很早的一些实践里面咱们是凭证以上刚才说的那四个章节里面的一些实践进行的，更多的一些笃定本次时期有限，咱们以后可能还有契机跟公共进行下一步的共享。谢谢公共！

（注：本文凭证现场速记整理，未经演讲嘉宾审阅）