大众尾气门：换一个会写代码的CEO是不够的

2007年丰田凯美瑞电子油门源代码缺陷导致的油门加速事故已经让丰田公司损失了将近三分之一的品牌价值，在北美市场遭受重创。而大众汽车的尾气门则在一周内让大众公司的股价暴跌三分之一，2000亿元的市值瞬间蒸发。

让很多管理专家和经济学家们不能理解的是，以上这些影响全球汽车行业发展轨迹的重大历史事件的导火索，仅仅是几行代码而已。

当我们谈论汽车，我们在谈论什么？

当我们谈论汽车质量、品牌、创新和监管，我们实际上在谈论软件问题，甚至今天的汽车企业某种程度上都是软件公司，虽然它们开发出来的代码很烂。

高端汽车已经是这个星球上最复杂的软件系统之一。华盛顿大学的计算机科学教授Dr. Patel认为，汽车的引擎控制等电子系统的软件复杂度已经超过智能手机，一些高端品牌汽车的代码达到上亿行，与之相比全球最大的社交网络Facebook的代码量只有6000万行，欧洲强子对撞机的代码量也只有5000万行。

而汽车软件漏洞和人为的恶意代码对这个世界的影响，更是超出了大多数人的想象。

举两个简单的例子，根据英国卫报的报道，大众汽车公司安装了“欺骗软件”的1100万辆柴油汽车（根据路透社的最新报道，斯柯达和奥迪的330万辆汽车也存在同样的排放超标问题），每年超标排放100万吨空气污染物，相当于英国全国的排放量。这已经不是不痛不痒的商业伦理话题，而是我们本就脆弱的地球生态系统因为一段恶意汽车代码额外承受了一个英国体量的有毒气体排放。

汽车软件漏洞还可以对人身安全构成直接威胁，成为网络攻击延伸到物理世界的传送门。仅仅两个月前，菲亚特克莱斯勒公司刚刚因为Uconnect车载系统爆出的软件漏洞可被黑客攻击而宣布召回140万辆汽车，这是汽车行业首次因为黑客风险而大规模召回汽车。

打一个不恰当的比喻，我们今天驾驶的汽车，就像未经审核就可上架的APP，与常见的手机恶意APP不同，这些汽车APP“只要命不要钱”，而我们所能指望的，是不靠谱的业界良心。

换一个会写代码的CEO是不够的

美国第四大零售商Target被黑客攻击导致数以千万计的信用卡信息泄露后，Target首席执行官选择了辞职，一同去职的还有Target的CIO。而Target也在公司历史上首次设立了CSO首席信息安全官一职。

无独有偶，大众汽车公司尾气门之后，也是首席执行官引咎辞职，接任的前保时捷首席执行官Matthias Mueller有一个重要的背景信息被媒体忽略了，那就是Mueller拥有计算机科学硕士学位，不少媒体认为这释放了一个信号，那就是大众董事会需要一位懂技术的，能“听见”和“看见”的掌舵者来力挽狂澜。

我们可以预见，随着黑客攻击与企业安全能力的不对等发展，以及技术管理滞后导致的重大产品安全事故频发，未来几年将会有更多的全球500强企业首席执行官下岗，同时会有更多企业设立CSO以及产品安全开发总监之类的职位。

但组织结构、产品开发和风险管理体系的重构并不是问题的全部，汽车行业面临的核心难题是，如何让让汽车代码的黑匣子——电子控制系统中运行的上亿行专有代码变得可升级、可维护、可监管。

在“工业4.0”的策源地——德国，大众汽车公司在软件问题上犯下的致命错误，为迷失在技术革命中的整个汽车行业敲响了警钟。

显然，“如何成为一个合格的软件企业”，是汽车行业必须正视的，涉及行业未来发展方向的，唯一严肃的战略性问题，而不是联网汽车、智能驾驶之类的CMO话题。

如果汽车企业不能进行“互联网思维”，跳出汽车企业经营的思维定式，推动管理变革，那么增加再多的CSO和信息安全人员都是徒劳。

“看见”只是第一步

“可视化”是信息安全界目前比较流行的一个说法，在近日举行的2015中国互联网安全大会上，无论是前美国国家安全局局长凯斯亚历山大还是周鸿祎都在反复强调“可视化”和“看见”是应对当今日益复杂的网络安全威胁的新安全防御体系的核心思想。

对汽车行业来说，“可视化”同样是解决软件代码漏洞发现难题的一把钥匙。实现“可视化”，提高政府监管力度，一个显而易见的方法就是开放源代码，允许个人研究者对汽车软件进行审视或者逆向工程。但对于开放代码访问的提议，汽车行业一开始到现在都是拒绝的，理由无外乎知识产权保护和“为消费者的安全着想”。大众汽车公司就是汽车源代码开放审查最激烈的反对者，而在大众尾气门之前，美国环境保护总署也一直站在汽车企业一边，认为开放源代码会助长汽车改装并产生无法控制的偷排问题。

对于汽车业来说，前方是开源的“深渊”，身后则是汽车软件代码的高度复杂性和积重难返，难以为继的维护、开发和监管工作。

丰田凯美瑞油门加速事故后，美国道路交通安全委员会曾公开承认无法完成对汽车控制系统数百万行代码的审核，完成这项工作需要的资源，包括人才、资金和技术都远远超出了政府监管部门的能力范围，导致“视而不见”。

事实上丰田电子油门加速事故的调查最终不了了之的一个最重要的原因，正如源代码调查报告中所指出的，由于丰田的软件工程师完全没有合规和安全意识，电子油门源代码大规模违反行业规范，甚至犯下允许单点失败的大忌，同时源代码本身凌乱得如同“意大利面条”，这导致很多致命缺陷无法很难发现，难以调查，无法解决（解决一个bug会冒出新的bug），言外之意是，丰田的电子油门源代码已经不适合进行任何外科手术式的整改，只能采取“保守治疗”。

拥抱开源和众包

“保守治疗”的效果有目共睹，丰田上个月刚刚因为软件导致的急刹车问题召回了62.5万辆混合动力汽车。毫不夸张地说，软件复杂得像生物体的汽车产品已经“病入膏肓”。

我们无法想象汽车业的厂商们在代码密集型的智能物联网时代如何前行，产品安全开发问题和代码的可视化（无论对于监管机构还是最终用户）两座活火山随时都有可能喷发，事实上大众公司已经提前引爆了其中一个。

虽然缺乏完整的“手术方案”，一些汽车厂商已经行动起来。

电动车制造商特斯拉在屡次成为Blackhat热门话题之后已经启动了一个漏洞奖金计划，以众包的方式让全球的白帽子黑客来一起查找汽车软件系统的漏洞。而通用汽车去年也招聘了汽车行业首个首席产品信息安全官。

新的汽车行业软件开发的规范也在推进之中，例如根据纽约时报报道，美国俄亥俄州的机动车安全管理机构N.H.T.S.A.不但着手分析汽车软件的安全漏洞，而且正在测试一套新的汽车软件开发规范。N.H.T.S.A.甚至还在着手研究汽车黑匣子来记录行车数据和电子系统的故障。

N.H.T.S.A.制定的汽车行业软件开发规范借鉴了联邦航空委员会对对商业飞机软件设计开发的监管模型。但是，正如N.H.T.S.A.的机动车安全研究主管Nat Beuse自己也承认的，监管机构根本不可能审查所有的汽车软件源码，因为工程量过于浩大，而仿效联邦航空委员会的模型则面临巨大的人才短缺问题。

其实无论是汽车企业还是监管机构，所面临的诸如人才短缺和产品快速迭代的问题，一个最好的参考范本就是开源社区模式。在Linux内核维护团队中拥有一席之地的大众汽车公司，对此想必并不陌生。