本書通過深入探討構(gòu)建和維護(hù)軟件供應(yīng)鏈安全的實(shí)施策略和最佳實(shí)踐�����,以期提供全面的實(shí)踐操作指南����,幫助讀者理解并應(yīng)對與軟件供應(yīng)鏈相關(guān)的安全威脅����。
本作者以前置伴生、內(nèi)生可控���、高效便捷為安全理念���,從軟件供應(yīng)鏈管理與人員安全、供應(yīng)商安全治理�����、三方軟件管理��、安全融入開發(fā)過程、開發(fā)過程的數(shù)據(jù)安全��、軟件開發(fā)環(huán)境安全��、運(yùn)行安全以及軟件供應(yīng)鏈安全管理制度進(jìn)行全方位����、多維度、深層次����、立體化地布控軟件供應(yīng)鏈安全治理解決方案。以技術(shù)�����、管理和服務(wù)三管齊下為基準(zhǔn),建立起兩個(gè)相互補(bǔ)充的安全閉環(huán)。第一,聚焦軟件研發(fā)內(nèi)部,形成涵蓋需求設(shè)計(jì)��、開發(fā)、驗(yàn)證��、發(fā)布和部署的安全開發(fā)全生命周期安全閉環(huán);第二,在宏觀層面,從整個(gè)軟件供應(yīng)鏈的角度出發(fā)���,包括上游供應(yīng)商的安全治理以及下游用戶的運(yùn)行使用安全����,確保全生命周期中每個(gè)觸點(diǎn)都受到保護(hù)。
本書可作為網(wǎng)安從業(yè)者對軟件供應(yīng)鏈安全治理工作的參考和指導(dǎo)����。希望在本書的指引下��,與業(yè)界同人共同推進(jìn)軟件供應(yīng)鏈安全體系的構(gòu)建和發(fā)展����,為筑牢國家網(wǎng)絡(luò)安全屏障添磚加瓦、保駕護(hù)航�����。
推薦序一
科學(xué)革命為人類帶來了對自然界的深入理解和對知識體系的根本重構(gòu)����,工業(yè)革命通過機(jī)械化方式極大地提高了生產(chǎn)效率,這兩場革命共同奠定了現(xiàn)代社會的基礎(chǔ)��。計(jì)算機(jī)革命則成為這一進(jìn)程的延續(xù)和發(fā)展���,它們在信息時(shí)代為人類社會帶來了前所未有的變革�����,也奠定了數(shù)字化時(shí)代的基礎(chǔ)���。
在如今的數(shù)字化浪潮下�����,建設(shè)數(shù)字中國是數(shù)字時(shí)代推進(jìn)中國式現(xiàn)代化的重要引擎��!稊(shù)字中國建設(shè)整體布局規(guī)劃》中指出,要強(qiáng)化數(shù)字中國關(guān)鍵能力�����,筑牢可信可控的數(shù)字安全屏障����。基于此����,我們需要著重于建立一個(gè)全面、穩(wěn)健的安全可信計(jì)算環(huán)境���,確保軟件供應(yīng)鏈安全就是其關(guān)鍵組成部分之一��。本書是一部致力于在這一關(guān)鍵領(lǐng)域提供深度見解和實(shí)際指導(dǎo)的文獻(xiàn)�����,它旨在幫助企業(yè)和用戶理解并應(yīng)對軟件供應(yīng)鏈中的各種安全風(fēng)險(xiǎn)�����。
本書深入分析了軟件供應(yīng)鏈安全的現(xiàn)狀���,基于組織和制度建設(shè),系統(tǒng)地介紹了安全研發(fā)體系的構(gòu)建�����,相關(guān)安全技術(shù)能力的提升�����,以及第三方軟件管理���、環(huán)境和數(shù)據(jù)安全管理等策略����,在各章節(jié)細(xì)致地探討了如何在軟件的需求設(shè)計(jì)、開發(fā)��、驗(yàn)證����、發(fā)布和部署及運(yùn)營各階段中實(shí)施和維護(hù)可信計(jì)算的原則。本書的一個(gè)重點(diǎn)在于強(qiáng)調(diào)安全不應(yīng)僅作為事后的補(bǔ)救措施���,而應(yīng)并行融合在軟件供應(yīng)鏈的每個(gè)環(huán)節(jié)�。為此�,本指南還提供了一系列實(shí)用的工具和資源,包括安全編碼規(guī)范����、安全開發(fā)工具包等。
老子曾說:有道無術(shù)����,術(shù)尚可求,有術(shù)無道��,止于術(shù)。本書不僅為軟件供應(yīng)鏈安全治理提供了技術(shù)實(shí)踐指導(dǎo)�,還從現(xiàn)狀分析、安全理念���、關(guān)鍵技術(shù)等層面深度探討了如何構(gòu)建一個(gè)強(qiáng)大的治理框架���。期望本書能夠?yàn)闃I(yè)界同人提供一份全面且實(shí)用的資源,幫助讀者在這個(gè)充滿挑戰(zhàn)的領(lǐng)域中更好地思考和決策����,從而創(chuàng)造一個(gè)更安全、更可信的軟件環(huán)境����。
當(dāng)前���,世界百年未有之大變局加速演進(jìn)��,新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展�。希望能夠在本書的助力下�,與業(yè)界同人共同推進(jìn)軟件供應(yīng)鏈安全體系的構(gòu)建和發(fā)展,為實(shí)現(xiàn)安全可信的數(shù)字安全屏障這一目標(biāo)添磚加瓦�,共同夯實(shí)網(wǎng)絡(luò)空間命運(yùn)共同體的安全基石。
沈昌祥
中國工程院院士
推薦序二
在數(shù)字化高速發(fā)展的時(shí)代�����,科學(xué)技術(shù)升級換代,數(shù)字技術(shù)正在推動供給側(cè)結(jié)構(gòu)性改革和經(jīng)濟(jì)發(fā)展的質(zhì)量變革�����、效率變革�����、動力變革�,數(shù)字技術(shù)正在以透析的方式改變?nèi)澜绲慕?jīng)濟(jì)血脈。網(wǎng)絡(luò)安全作為數(shù)字化發(fā)展的底座�,作為核心中的核心,當(dāng)前面臨著地緣政治��、傳統(tǒng)安全與網(wǎng)絡(luò)空間安全的交織威脅���。網(wǎng)絡(luò)安全問題將給數(shù)字化發(fā)展帶來前所未有的挑戰(zhàn)�����。系統(tǒng)軟件��、支撐軟件���、應(yīng)用軟件���、工業(yè)軟件及安全軟件等高速發(fā)展,軟件供應(yīng)鏈安全事件頻發(fā)(如SolarWinds和Log4j2)��,對用戶隱私���、財(cái)產(chǎn)安全及國家安全造成了嚴(yán)重威脅���,直接關(guān)系國家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全。
本書無私地分享了軟件供應(yīng)鏈安全實(shí)踐經(jīng)驗(yàn)�,我深表感動,充分體現(xiàn)了作者對技術(shù)創(chuàng)新的執(zhí)著和軟件供應(yīng)鏈安全的技術(shù)情懷���。作者以前置伴生��、內(nèi)生可控、高效便捷為安全理念���,從軟件供應(yīng)鏈管理與人員安全�����、供應(yīng)商安全治理����、三方軟件管理、安全融入開發(fā)過程���、開發(fā)過程的數(shù)據(jù)安全�、軟件開發(fā)環(huán)境安全����、運(yùn)行安全及軟件供應(yīng)鏈安全管理制度等方面全方位、多維度�����、深層次��、立體化地布控軟件供應(yīng)鏈安全治理解決方案�。技術(shù)、管理和服務(wù)三管齊下�,全面讓安全與數(shù)字建設(shè)相同步、相適應(yīng)�,讓安全建設(shè)重心從原來的運(yùn)行時(shí)防護(hù)轉(zhuǎn)向安全前置��,將安全賦能到開發(fā)���、測試及運(yùn)營的各個(gè)階段,從源頭根本性地解決安全風(fēng)險(xiǎn)����,避免應(yīng)用帶病運(yùn)行,讓應(yīng)用自身具備抵抗力和免疫力���,從而構(gòu)建自主可控�����、安全可信的軟件供應(yīng)鏈安全體系�,從供給側(cè)為數(shù)字中國保駕護(hù)航���。
本書由安全玻璃盒孝道科技團(tuán)隊(duì)范丙華編寫�,總結(jié)了其多年來在軟件供應(yīng)鏈安全領(lǐng)域的一線實(shí)踐經(jīng)驗(yàn)�����,具有系統(tǒng)性����、實(shí)用性、前瞻性和適應(yīng)性等特點(diǎn)���,特別對于提升金融行業(yè)的軟件供應(yīng)鏈安全能力�,提供了恰逢其時(shí)的安全理念和實(shí)踐的傳承�,具有很高的參考價(jià)值和借鑒意義。
陳天晴
中國人民銀行科技司原副司長
推薦序三
根據(jù)《數(shù)字2023全球概覽報(bào)告》�����,當(dāng)今世界有約51.6億名互聯(lián)網(wǎng)用戶�,這意味著對互聯(lián)網(wǎng)的控制權(quán)是一種極高的權(quán)力。事實(shí)上�����,幾乎所有人都在追求通過互聯(lián)網(wǎng)影響全世界����,如黑客通過病毒,谷歌通過搜索引擎��,微軟通過操作系統(tǒng)�,蘋果公司通過手機(jī)�,美國政府則通過No Such Agency��,甚至網(wǎng)紅也在通過社交媒體或短視頻積極擴(kuò)大影響力�。
其中,如何保障軟件供應(yīng)鏈安全進(jìn)而保障自身軟件安全是最基礎(chǔ)����、最重要的問題。早在1983年���,Unix操作系統(tǒng)發(fā)明人肯尼斯·藍(lán)·湯普森(Kenneth Lane Thompson)發(fā)表圖靈獎獲獎感言時(shí)���,就介紹了如何通過C編譯器在軟件中設(shè)置后門,并斷言:只要使用了不安全的代碼�����,不管做多少檢查都不能保證安全���。
軟件早已進(jìn)入工業(yè)化時(shí)代�����,軟件供應(yīng)鏈安全的重要性和復(fù)雜性都遠(yuǎn)超湯普森老先生獲獎之時(shí)���,但軟件供應(yīng)鏈安全難題始終缺少標(biāo)準(zhǔn)答案���。本書從管理和技術(shù)兩個(gè)方面���,嘗試對開發(fā)�、測試��、運(yùn)行等軟件生命周期各個(gè)環(huán)節(jié)給出完善且系統(tǒng)的解答�����,既有坐而論道��,又有起而行之��,可謂道�、法、術(shù)��、器自成一體����,為構(gòu)建完整的企業(yè)級軟件供應(yīng)鏈安全體系提供了難得的參考與指南���。
《史記·秦始皇本紀(jì)》記載:一法度衡石丈尺,車同軌���,書同文字����。軟件是互聯(lián)網(wǎng)時(shí)代人類的共同語言����,相信本書必定能夠幫助大家提升軟件供應(yīng)鏈安全,解決軟件安全應(yīng)用難題�,強(qiáng)化軟件安全共享共用。
張耀欣 博士
書單推薦
