本書(shū)通過(guò)深入探討構(gòu)建和維護(hù)軟件供應(yīng)鏈安全的實(shí)施策略和最佳實(shí)踐�����,以期提供全面的實(shí)踐操作指南����,幫助讀者理解并應(yīng)對(duì)與軟件供應(yīng)鏈相關(guān)的安全威脅。
本作者以前置伴生�、內(nèi)生可控、高效便捷為安全理念��,從軟件供應(yīng)鏈管理與人員安全���、供應(yīng)商安全治理���、三方軟件管理���、安全融入開(kāi)發(fā)過(guò)程、開(kāi)發(fā)過(guò)程的數(shù)據(jù)安全�、軟件開(kāi)發(fā)環(huán)境安全、運(yùn)行安全以及軟件供應(yīng)鏈安全管理制度進(jìn)行全方位����、多維度、深層次��、立體化地布控軟件供應(yīng)鏈安全治理解決方案��。以技術(shù)���、管理和服務(wù)三管齊下為基準(zhǔn)����,建立起兩個(gè)相互補(bǔ)充的安全閉環(huán)�����。第一,聚焦軟件研發(fā)內(nèi)部,形成涵蓋需求設(shè)計(jì)、開(kāi)發(fā)���、驗(yàn)證��、發(fā)布和部署的安全開(kāi)發(fā)全生命周期安全閉環(huán);第二,在宏觀層面,從整個(gè)軟件供應(yīng)鏈的角度出發(fā)���,包括上游供應(yīng)商的安全治理以及下游用戶的運(yùn)行使用安全,確保全生命周期中每個(gè)觸點(diǎn)都受到保護(hù)����。
本書(shū)可作為網(wǎng)安從業(yè)者對(duì)軟件供應(yīng)鏈安全治理工作的參考和指導(dǎo)�����。希望在本書(shū)的指引下����,與業(yè)界同人共同推進(jìn)軟件供應(yīng)鏈安全體系的構(gòu)建和發(fā)展,為筑牢國(guó)家網(wǎng)絡(luò)安全屏障添磚加瓦��、保駕護(hù)航�。
推薦序一
科學(xué)革命為人類帶來(lái)了對(duì)自然界的深入理解和對(duì)知識(shí)體系的根本重構(gòu),工業(yè)革命通過(guò)機(jī)械化方式極大地提高了生產(chǎn)效率���,這兩場(chǎng)革命共同奠定了現(xiàn)代社會(huì)的基礎(chǔ)���。計(jì)算機(jī)革命則成為這一進(jìn)程的延續(xù)和發(fā)展��,它們?cè)谛畔r(shí)代為人類社會(huì)帶來(lái)了前所未有的變革����,也奠定了數(shù)字化時(shí)代的基礎(chǔ)���。
在如今的數(shù)字化浪潮下���,建設(shè)數(shù)字中國(guó)是數(shù)字時(shí)代推進(jìn)中國(guó)式現(xiàn)代化的重要引擎����!稊(shù)字中國(guó)建設(shè)整體布局規(guī)劃》中指出,要強(qiáng)化數(shù)字中國(guó)關(guān)鍵能力����,筑牢可信可控的數(shù)字安全屏障��;诖���,我們需要著重于建立一個(gè)全面��、穩(wěn)健的安全可信計(jì)算環(huán)境�����,確保軟件供應(yīng)鏈安全就是其關(guān)鍵組成部分之一����。本書(shū)是一部致力于在這一關(guān)鍵領(lǐng)域提供深度見(jiàn)解和實(shí)際指導(dǎo)的文獻(xiàn),它旨在幫助企業(yè)和用戶理解并應(yīng)對(duì)軟件供應(yīng)鏈中的各種安全風(fēng)險(xiǎn)���。
本書(shū)深入分析了軟件供應(yīng)鏈安全的現(xiàn)狀���,基于組織和制度建設(shè)����,系統(tǒng)地介紹了安全研發(fā)體系的構(gòu)建,相關(guān)安全技術(shù)能力的提升�����,以及第三方軟件管理���、環(huán)境和數(shù)據(jù)安全管理等策略��,在各章節(jié)細(xì)致地探討了如何在軟件的需求設(shè)計(jì)�����、開(kāi)發(fā)��、驗(yàn)證��、發(fā)布和部署及運(yùn)營(yíng)各階段中實(shí)施和維護(hù)可信計(jì)算的原則���。本書(shū)的一個(gè)重點(diǎn)在于強(qiáng)調(diào)安全不應(yīng)僅作為事后的補(bǔ)救措施����,而應(yīng)并行融合在軟件供應(yīng)鏈的每個(gè)環(huán)節(jié)����。為此,本指南還提供了一系列實(shí)用的工具和資源��,包括安全編碼規(guī)范����、安全開(kāi)發(fā)工具包等���。
老子曾說(shuō):有道無(wú)術(shù),術(shù)尚可求��,有術(shù)無(wú)道��,止于術(shù)�。本書(shū)不僅為軟件供應(yīng)鏈安全治理提供了技術(shù)實(shí)踐指導(dǎo),還從現(xiàn)狀分析�����、安全理念��、關(guān)鍵技術(shù)等層面深度探討了如何構(gòu)建一個(gè)強(qiáng)大的治理框架����。期望本書(shū)能夠?yàn)闃I(yè)界同人提供一份全面且實(shí)用的資源,幫助讀者在這個(gè)充滿挑戰(zhàn)的領(lǐng)域中更好地思考和決策��,從而創(chuàng)造一個(gè)更安全����、更可信的軟件環(huán)境。
當(dāng)前�,世界百年未有之大變局加速演進(jìn),新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展�。希望能夠在本書(shū)的助力下,與業(yè)界同人共同推進(jìn)軟件供應(yīng)鏈安全體系的構(gòu)建和發(fā)展����,為實(shí)現(xiàn)安全可信的數(shù)字安全屏障這一目標(biāo)添磚加瓦,共同夯實(shí)網(wǎng)絡(luò)空間命運(yùn)共同體的安全基石�。
沈昌祥
中國(guó)工程院院士
推薦序二
在數(shù)字化高速發(fā)展的時(shí)代,科學(xué)技術(shù)升級(jí)換代�,數(shù)字技術(shù)正在推動(dòng)供給側(cè)結(jié)構(gòu)性改革和經(jīng)濟(jì)發(fā)展的質(zhì)量變革、效率變革�����、動(dòng)力變革���,數(shù)字技術(shù)正在以透析的方式改變?nèi)澜绲慕?jīng)濟(jì)血脈����。網(wǎng)絡(luò)安全作為數(shù)字化發(fā)展的底座��,作為核心中的核心�����,當(dāng)前面臨著地緣政治、傳統(tǒng)安全與網(wǎng)絡(luò)空間安全的交織威脅��。網(wǎng)絡(luò)安全問(wèn)題將給數(shù)字化發(fā)展帶來(lái)前所未有的挑戰(zhàn)��。系統(tǒng)軟件����、支撐軟件、應(yīng)用軟件�、工業(yè)軟件及安全軟件等高速發(fā)展,軟件供應(yīng)鏈安全事件頻發(fā)(如SolarWinds和Log4j2)�,對(duì)用戶隱私、財(cái)產(chǎn)安全及國(guó)家安全造成了嚴(yán)重威脅�,直接關(guān)系國(guó)家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全。
本書(shū)無(wú)私地分享了軟件供應(yīng)鏈安全實(shí)踐經(jīng)驗(yàn)�,我深表感動(dòng),充分體現(xiàn)了作者對(duì)技術(shù)創(chuàng)新的執(zhí)著和軟件供應(yīng)鏈安全的技術(shù)情懷�����。作者以前置伴生����、內(nèi)生可控�����、高效便捷為安全理念,從軟件供應(yīng)鏈管理與人員安全�����、供應(yīng)商安全治理�����、三方軟件管理���、安全融入開(kāi)發(fā)過(guò)程����、開(kāi)發(fā)過(guò)程的數(shù)據(jù)安全�����、軟件開(kāi)發(fā)環(huán)境安全��、運(yùn)行安全及軟件供應(yīng)鏈安全管理制度等方面全方位�����、多維度、深層次���、立體化地布控軟件供應(yīng)鏈安全治理解決方案����。技術(shù)�����、管理和服務(wù)三管齊下���,全面讓安全與數(shù)字建設(shè)相同步�����、相適應(yīng)���,讓安全建設(shè)重心從原來(lái)的運(yùn)行時(shí)防護(hù)轉(zhuǎn)向安全前置,將安全賦能到開(kāi)發(fā)���、測(cè)試及運(yùn)營(yíng)的各個(gè)階段��,從源頭根本性地解決安全風(fēng)險(xiǎn)����,避免應(yīng)用帶病運(yùn)行���,讓?xiě)?yīng)用自身具備抵抗力和免疫力�����,從而構(gòu)建自主可控����、安全可信的軟件供應(yīng)鏈安全體系�����,從供給側(cè)為數(shù)字中國(guó)保駕護(hù)航�����。
本書(shū)由安全玻璃盒孝道科技團(tuán)隊(duì)范丙華編寫(xiě)��,總結(jié)了其多年來(lái)在軟件供應(yīng)鏈安全領(lǐng)域的一線實(shí)踐經(jīng)驗(yàn)�,具有系統(tǒng)性�����、實(shí)用性��、前瞻性和適應(yīng)性等特點(diǎn)�,特別對(duì)于提升金融行業(yè)的軟件供應(yīng)鏈安全能力���,提供了恰逢其時(shí)的安全理念和實(shí)踐的傳承�����,具有很高的參考價(jià)值和借鑒意義��。
陳天晴
中國(guó)人民銀行科技司原副司長(zhǎng)
推薦序三
根據(jù)《數(shù)字2023全球概覽報(bào)告》��,當(dāng)今世界有約51.6億名互聯(lián)網(wǎng)用戶���,這意味著對(duì)互聯(lián)網(wǎng)的控制權(quán)是一種極高的權(quán)力。事實(shí)上�,幾乎所有人都在追求通過(guò)互聯(lián)網(wǎng)影響全世界,如黑客通過(guò)病毒����,谷歌通過(guò)搜索引擎�,微軟通過(guò)操作系統(tǒng)����,蘋(píng)果公司通過(guò)手機(jī),美國(guó)政府則通過(guò)No Such Agency���,甚至網(wǎng)紅也在通過(guò)社交媒體或短視頻積極擴(kuò)大影響力���。
其中�,如何保障軟件供應(yīng)鏈安全進(jìn)而保障自身軟件安全是最基礎(chǔ)、最重要的問(wèn)題�����。早在1983年�����,Unix操作系統(tǒng)發(fā)明人肯尼斯·藍(lán)·湯普森(Kenneth Lane Thompson)發(fā)表圖靈獎(jiǎng)獲獎(jiǎng)感言時(shí)����,就介紹了如何通過(guò)C編譯器在軟件中設(shè)置后門(mén),并斷言:只要使用了不安全的代碼��,不管做多少檢查都不能保證安全。
軟件早已進(jìn)入工業(yè)化時(shí)代��,軟件供應(yīng)鏈安全的重要性和復(fù)雜性都遠(yuǎn)超湯普森老先生獲獎(jiǎng)之時(shí)�,但軟件供應(yīng)鏈安全難題始終缺少標(biāo)準(zhǔn)答案。本書(shū)從管理和技術(shù)兩個(gè)方面����,嘗試對(duì)開(kāi)發(fā)、測(cè)試�����、運(yùn)行等軟件生命周期各個(gè)環(huán)節(jié)給出完善且系統(tǒng)的解答�����,既有坐而論道��,又有起而行之�����,可謂道�、法、術(shù)、器自成一體�,為構(gòu)建完整的企業(yè)級(jí)軟件供應(yīng)鏈安全體系提供了難得的參考與指南。
《史記·秦始皇本紀(jì)》記載:一法度衡石丈尺��,車同軌����,書(shū)同文字。軟件是互聯(lián)網(wǎng)時(shí)代人類的共同語(yǔ)言���,相信本書(shū)必定能夠幫助大家提升軟件供應(yīng)鏈安全�,解決軟件安全應(yīng)用難題���,強(qiáng)化軟件安全共享共用。
張耀欣 博士
書(shū)單推薦
