VicOne與微軟合作為軟體開發者提供服務，具差異化汽車威脅情報、DevSecOps工作流程

楓恋

張旭撰文https://news.u-car.com.tw/news/article/82516

車用資安廠商 VicOne 於 2025 年 1 月 15 日宣布與 Microsoft 合作，VicOne 的 xZETA 已整合並可以在 GitHub 上使用，讓車輛軟體開發人員能夠主動保護韌體並確保在整個汽車軟體生命週期中提供端到端保護。軟體定義車輛(SDV)製造商因此能受益於差異化的汽車威脅情報、簡化且安全的程式碼開發、強化的持續整合(CI)和自動化安全分析。這次合作實現了開發人員、安全與營運(DevSecOps)的創新工作流程。

VicOne xZETA 已經可以在 GitHub 上使用，透過二進位分析和汽車威脅情報來保護汽車軟體創新。

VicOne 執行長鄭奕立表示：「作為車用資安領導廠商，我們與微軟合作實現的 DevSecOps 工作流程，為軟體開發人員和車廠製造商(OEM)等提供了前所未有的好處。開發人員可以用更有效率、更有效的途徑來推出經過驗證的安全性的創新軟體解決方案，而車廠製造商不僅可以對自己的軟體進行自我評估，還可以對複雜供應鏈中供應商的解決方案進行評估。此次合作實現的端到端保護將有望徹底翻轉汽車軟體生命週期和 Marketplace。」

VicOne xZETA 已經整合到 GitHub，作為 GitHub 開發的一部分提供使用

汽車軟體開發人員現在可以使用 Azure DevOps 的 GitHub Advanced Security 進行原始碼分析、在不變動原始碼的情況下亦可以使用 VicOne xZETA 進行二進位分析以及正在申請專利的 VicOne 漏洞影響評級(VVIR)，打造出無縫且強大的工作流程來保護其軟體。可以預見 xZETA 最終將會在 Microsoft Azure 基礎架構上執行：

1. Microsoft Visual Studio Code 和 GitHub Copilot 協助開發人員編寫安全程式碼。
2. GitHub Advanced Security 進行秘密掃描和原始碼分析。
3. VicOne xZETA 提供韌體和二進位分析以及即時漏洞評級。

微軟製造和行動部門副總裁 Dayan Rodriquez 表示：「透過解決原始碼和二進位層級的漏洞，我們與 VicOne 的合作為安全的汽車軟體創新樹立新標準。這次合作結合我們公司多元的安全專業知識，以及 VicOne 帶來強大且獨特的汽車威脅情報，創造了更有效率、更有效和無縫的工作流程，從而能夠更快地開發創新汽車技術，同時提高車輛的安全性和資訊安全保障。」

透過人工智慧驅動的靜態分析、秘密掃描和軟體構成分析，GitHub Advanced Security 可協助開發人員和安全團隊協同工作，在不犧牲生產力的情況下加速交付更安全的軟體。

xZETA 獨特的 VicOne 漏洞影響評級(VVIR)整合了外部情報和內部洞察，協助使用者排序出優先考慮的高風險漏洞，從而能夠快速識別高風險問題並執行對策。xZETA 會將完整的資訊回饋到威脅和風險評估(TARA)結果中，這樣的執行程序符合 ISO 21434「道路車輛 - 網路安全工程」規範，並且促進持續監控。

相比於僅解決已知開源漏洞的漏洞管理平台，xZETA 完整提供了對零日漏洞、未公開和已知漏洞、以及常見弱點枚舉(Common Weakness Enumeration, CWE)、進階持續性威脅(Advanced Persistent Threat, APT)和勒索軟體的卓越可見性。xZETA 所提供的威脅情報資訊超過國家漏洞資料庫(NVD)189%以上，提供更廣泛的偵測覆蓋範圍。