2023年7月25-26日，由中国信息通信研究院、中国通信标准化协会联合主办的“2023年可信云大会”隆重召开。会上，在中国信息通信研究院云计算与大数据研究所副所长栗蔚的主持下，中国信通院发布了“2023年上半年可信云评估结果”，并由中国信息通信研究院副院长魏亮、中国信息通信研究院云计算与大数据研究所所长何宝宏为首批企业颁发了行业首张“汽车云-汽车软件研发效能成熟度模型能力评估”评估证书！

 汽车云-《汽车行业软件研发效能成熟度模型》首批评估证书颁发

汽车云-《汽车行业软件研发效能成熟度模型》是由中国信通院牵头、多家企业和机构共同编写的针对软件研发效能成熟度体系的汽车行业标准。2022年伊始，中国信通院云上软件工程团队展开汽车云领域相关调研工作，同年8月份启动汽车云体系标准第一站：汽车行业软件研发效能成熟度标准研讨会，五十余家企业、一百三十余位汽车行业专家深度参与，10余次闭门研讨，5次全行业公开研讨，精心打磨，最终将该标准打磨成为了汽车云领域的精品标准，并依此开展首批测评工作。

标准介绍

 图1 汽车云-《汽车行业软件研发效能成熟度模型》标准

汽车云-《汽车行业研发效能成熟度模型》的构成是基于“软件过程——系统结构”的综合与分解方法，对研发效能能力项进行分类分层，形成结构化表达的模型图。通过能力项在模型图中的可视化标注，企业可以快速定位研发效能能力评估与实施的范围，从而提高改进的效率。汽车行业软件研发效能功能架构图覆盖项目管理域、应用开发域、测试管理域、运维/运营域、度量改进域五大方面的整车软件交付全生命周期能力子域，35个能力子项，500余项能力要求。

汽车行业软件供应链管控平台能力介绍

1. 企业简介

棱镜七彩作为开源治理及自主可控软件供应链技术服务提供商，利用国际先进的开源技术理念，专注于可信开源技术研究和软件供应链安全行业应用，加速构建软件产业和行业领域安全合规治理能力，促进我国形成安全可靠、可持续发展的软件供应链，夯实产业及区域数字化转型自主可控基础。

2. 建设背景

汽车行业作为国民经济的重要支柱产业，在政策与行业双轮驱动下，带动汽车软件规模急速增长，如今一辆汽车中的软件包大约1亿行代码，预计到2030年代码量将增加至3亿行。而与汽车相比，乘用客机和战斗机代码量约为1500万行和2500万行，主流的PC操作系统代码量约为4000万行。软件正持续地被集成各类车载应用，并且正在汽车架构堆栈中进一步向硬件端移动，这无异于在“软件定义汽车”的时代投下一颗核弹。

 

3. 整体解决方案

（一）代码评审平台提供代码评审、代码扫描、质量检测、持续集成等功能，全方位保护企业代码资产，帮助企业实现安全、稳定、高效的代码托管和研发管理。

知进度：代码评审进度跟踪；

控成本：降低代码管理成本；

防风险：代码风险把控；

提质量：代码质量提升；

（二）流水线工具能够实现源码从构建、测试到部署上线的全流程自动化，极大地提高企业软件的发布速度与发布频率，能够让汽车企业实现高效率持续交付。

 

（三）可信制品管理平台是一款国产化的企业级依赖包/制品管理工具，能解决不同仓库管理复杂的问题；通过版本管理及元数据来管理制品全生命周期；提供安全扫描与依赖分析进行风险把控；拥有精细化的权限管控与监控能力，保障数字资产安全；具备制品同步分发能力，实现多数据中心的数据同步。

（四）代码扫描FOSSEye开源安全与合规治理平台是基于“左移安全”和DevSCAOps的理念打造的一款全方位智能软件成分分析平台，平台同时具备源代码、组件依赖、二进制、容器镜像4大核心成分分析引擎，能够快速、准确识别软件中所使用到的第三方开源组件，然后通过关联分析技术识别软件中潜在的安全漏洞和许可证信息，综合判断相关风险，并给出相关风险修复建议，并依托SBOM台账管理能力赋能企业对内部软件资产形成全面、持续的安全运营。FOSSEye旨在赋能企业开源安全与合规治理能力，帮助企业做到软件产品实际意义上的可知可控，护航车企网络安全。

 （五）安全审计平台通过对车企下的全面组织管理系统，为各类组织的全生命周期管理提供规范、便捷的组织能力建设解决方案，满足车企对安全组织变革的设计、调整、预测、复盘和追溯的可视化需求。

（六）二进制FossBinary是专业针对各类二进制文件进行第三方组件成分及安全性分析的专业工具，结合多种技术对二进制项目进行识别、提取、处理，获取有效的代码成分，对代码成分安全风险和开源协议风险进行分析。深入二进制代码层次，实现代码检测全面覆盖。其中包括二进制代码层次、成分分析、安全风险分析、许可证风险分析。

4.亮点

汽车行业软件供应链管控平台以代码高质量审核、多级权限控制，动态灵活管理、代码准入规则、多类型流水线灵活定义等能力助力汽车企业代码管理成熟专业，研发资产安全无忧使汽车企业向精英效能的转型；对车企重要的服务、工程代码进行质量管控，提高整体代码质量；对开发者代码进行一系列安全检查，降低车企安全风险；分析系统活动和审计数据来寻找可能的或真正的安全违规操作，保障车企信息安全。

 

 

 

 

汽车云是云计算的下一个战场，车云一体将是未来一段时间内车厂、云厂的热门话题。2022是汽车云开端之年，《汽车行业软件研发效能成熟度模型》是汽车云标准体系的“开端基石”，未来，中国信通院云上软件工程团队将围绕汽车云工作组，持续聚焦汽车云标准体系建设工作，持续推动汽车云行业高质量发展。