离7月1号还剩三周，听我一句劝，别再去看什么“修改单解读”了

哥们，如果你现在还在刷那些“GB 44495 1号修改单政策解读”，停了吧。

什么“信息安全管理体系改成信息安全保障要求”、“O类挂车不再强制”、适用范围从M1调成M类和N类——这些都是去年9月征求意见稿就出来的东西。看十遍也不会让你的车早一天拿到公告。

我想说的是另外一件事。最近两周，我好几个朋友的项目都在同一个环节上出问题——整车渗透测试。不是没做测试，而是做的太晚。送到实验室，测完，十几条漏洞，整改周期不够，被卡在公告门口。型号已经公告过了，车型上市排期全被打乱，市场部天天堵门。

三周时间，能做的事非常少，但有三件事如果你不做，基本上等着延后。

第一件事：整车渗透，这周不去就晚了

过去两年，行业里对GB 44495默契的理解是这样的——TARA报告先写漂亮，安全设计说明也写厚一点，渗透测试的事后面再说。有些车企甚至赌了一把：渗透测试反正是抽检，万一没抽到自己，不就省了几十万检测费和好几周时间？

跟你讲一个真事。上个月一个哥们把车送到中汽研，安全文档准备得相当齐全，TARA写得跟博士论文似的。渗透做了一天，直接把T-BOX的AT指令通道给打穿了——通过伪造AT指令远程控制车载通讯模块，车机直接沦陷。这个问题要整改，换供应商是不可能的，改固件要供应商协调，一个月起步。他的公告计划直接凉了。

我不是吓你。GB 44495标委会在1号修改单里明确写了：渗透测试是必检项，不是抽检项。而且公告审查时，你送检车型的渗透报告里但凡有一条漏洞没有闭环整改的证明，直接驳回。不是警告，不是让你改，是直接驳回。

这句话什么意思？你前期做再多纸面工作，到最后渗透报告上只要有一个漏洞没修掉，前面的全白做。

所以，手里车型没做过摸底渗透的，立刻约。不要等产品定型，不要等OTA版本稳定，先用当前的样车去做一轮摸底。什么样的实验室能做？中汽研汽车检验中心、上海机动车检测中心、重庆车检院、长春汽车检测中心，这几家都有GB 44495全项检测资质。先问档期，再谈价格。

摸底跑完，你会拿到一份漏洞清单。这份清单上的每一条漏洞，你需要在正式送检前全部修掉，并且留下整改记录。等正式送检的时候，实验室会对着这份清单一条条验——修了没有、修好了没有、有没有证明材料。不是什么很难理解的事，但时间窗口实在太紧了。

举个实在的数：一个中等智能度的燃油车，第一轮摸底渗透跑下来，十到二十条漏洞是正常的。其中两三条高危。每条高危整改周期，从分析到打补丁到回归测试，少则一周多则三周。你自己算。

第二件事：实验室档期，这个黑洞比你以为的更大

接着说检测排期。这件事现在比技术本身更让人头疼。

上上周有人托我帮忙问中汽研整车渗透的排期，我打了一圈电话，最早的可预约时间是七月中旬。七月中旬。距离7月1号只剩两周了，档期却要到七月中才有空位。

这不是哪一家实验室的问题。全国具备GB 44495整车渗透测试资质的机构就那么几家，每家就那几个台架。一个完整的整车渗透测试，从车辆架设到完整的攻击路径跑完，顺利的话也要两到三周。不顺利的话——检出高危漏洞需要整改、整改后需要回归——拖上一个半月也正常。

现在的情况是：所有没做完的车企都在抢剩下几周的窗口。实验室的排期三个月前就被早起的那些车企锁死了。后来的人想插队？可以，但要看前面有没有人掉队退出。纯粹靠等，大概率等不到。

你能做的事情只有一件：今天开始，挨个给有资质的机构打电话。别发邮件，邮件没人看。打电话，问一句话——“你们七月份之前整车渗透还有没有空余排期”。有，马上签合同。没有，问备用方案——有没有合作实验室可以分流，有没有晚上或周末加班测试的可能。

如果打了十个电话都没有，那你只能面对一个现实：这个车型的公告申报要延后。不是延期交车，是延期申报公告。这不是罚款能解决的事——没有公告，你的车不能在中国市场销售。市场部那帮人会很不高兴，但合规不是市场部说了算的。

再多说一句：别被某些机构说的“加急通道”忽悠瘸了。加急只代表你交的报告会优先被审查，不代表你可以跳过渗透测试。道理很简单——不是审查环节慢，是测试本身占时间。

第三件事：同一型式判定，这条捷径能救你的钱，但大部分人用错了

在火烧眉毛的时候，我想给你说的是同一型式判定。这是唯一一件能在不牺牲合规质量的前提下帮你省钱省时间的事。

GB 44495-2024的第9.1条写得非常明确，同一型式直接视同认定的条件一共七条：

车辆电子电气架构相同，信息安全处置措施一致。中央网关硬件型号和软件版本号相同。蜂窝通信模块（说白了就是T-BOX）硬件型号和软件版本号相同。车载OTA升级系统的硬件型号和软件版本号相同。无线通信方式的协议、版本、接口类型数量不增加。外部接口的类型数量不增加。车企云平台的IP地址或域名一致。

以上七条全部满足，视为同一型式。主车型加测，子车型只需要填一张一致性声明。

听起来不难，对吧？但我跟你说，今年上半年我见过最离谱的案例，一个车企花了一百多万做了三辆车的全项测试。测完之后才有人提醒他：这三辆车底盘一模一样，E/E架构完全一致，T-BOX同一个供应商同一版软件，三个车型本来可以捆在一起只测主车型的。一百多万，三分之一都花冤枉了。

反过来也有更惨的——以为符合同一型式判定，结果送检的时候被检测机构打回来。原因是燃油版用了A供应商的T-BOX，混动版换了B供应商。虽然底盘一样，但蜂窝通信模块的硬件型号不一样。按标准9.1第3条，同一型式判定直接不成立。混动版当天被要求单独送检。时间已经晚了两个月，检测费翻倍。

所以，你现在就去翻你的产品序列。把所有在7月1号后有公告需求的车型列出来，一个一个对上面那七条。七条全对上了，立刻去找检测机构做同一型式捆绑申报，只送主车型。有一条对不上——哪怕只是换了一家T-BOX供应商——别抱侥幸心理，老老实实单独测。

顺便说一句，别被“底盘一样就能共用”这种野路子说法带偏了。GB 44495看的是信息安全架构，不是看底盘。底盘一样、T-BOX不一样，没戏。底盘不一样、但前面那七条全一样——这种情况很少，但理论上可以。标准只看那七条，一看一个准。

最后跟你说四件马上要做的事

上面三件事讲完了，剩下四周不到的时间，你有四件活必须马上动：

第一，打实验室电话，现在就打。中汽研、上海汽检、重庆车检院、长春汽车检测中心——挨个打。别等，每等一天，你的选项就少一个。

第二，安全文档和测试同步推进。TARA报告、安全设计说明、漏洞处置台账、内部管理制度——这些东西别等渗透测完再补。同步做。渗透测试报告提交的同时，安全文档要已经准备好。

第三，把T-BOX供应商和中控主机供应商拉出来审一遍。去CNNVD和CNVD查一查他们历史上的漏洞记录。他们的芯片固件如果历史漏洞多，你的整车渗透大概率也会受到牵连。

第四，如果你同时在跑欧盟R155的认证，记住一件事：R155的报告不能直接拿来交GB 44495公告。两条线各做各的测试。唯一能复用的是什么？TARA评估的架构、部分渗透测试的技术结果，可以翻译之后作为参考文件提交——参考，不是替代。别指望一套报告走天下，行不通的。

就这些。三周时间，能操作的空间比你以为的小，但比什么都不做强得多。手里这台车，要么在7月1号之前把渗透跑完、公告提交上去，要么你就得认延后这件事。合规就这点残酷——它不看你的市场计划有多紧迫，只看你的测试报告干不干净。