本書通過深入探討構建和維護軟件供應鏈安全的實施策略和最佳實踐,以期提供全面的實踐操作指南,幫助讀者理解并應對與軟件供應鏈相關的安全威脅。
本作者以前置伴生、內(nèi)生可控、高效便捷為安全理念,從軟件供應鏈管理與人員安全、供應商安全治理、三方軟件管理、安全融入開發(fā)過程、開發(fā)過程的數(shù)據(jù)安全、軟件開發(fā)環(huán)境安全、運行安全以及軟件供應鏈安全管理制度進行全方位、多維度、深層次、立體化地布控軟件供應鏈安全治理解決方案。以技術、管理和服務三管齊下為基準,建立起兩個相互補充的安全閉環(huán)。第一,聚焦軟件研發(fā)內(nèi)部,形成涵蓋需求設計、開發(fā)、驗證、發(fā)布和部署的安全開發(fā)全生命周期安全閉環(huán);第二,在宏觀層面,從整個軟件供應鏈的角度出發(fā),包括上游供應商的安全治理以及下游用戶的運行使用安全,確保全生命周期中每個觸點都受到保護。
本書可作為網(wǎng)安從業(yè)者對軟件供應鏈安全治理工作的參考和指導。希望在本書的指引下,與業(yè)界同人共同推進軟件供應鏈安全體系的構建和發(fā)展,為筑牢國家網(wǎng)絡安全屏障添磚加瓦、保駕護航。
推薦序一
科學革命為人類帶來了對自然界的深入理解和對知識體系的根本重構,工業(yè)革命通過機械化方式極大地提高了生產(chǎn)效率,這兩場革命共同奠定了現(xiàn)代社會的基礎。計算機革命則成為這一進程的延續(xù)和發(fā)展,它們在信息時代為人類社會帶來了前所未有的變革,也奠定了數(shù)字化時代的基礎。
在如今的數(shù)字化浪潮下,建設數(shù)字中國是數(shù)字時代推進中國式現(xiàn)代化的重要引擎!稊(shù)字中國建設整體布局規(guī)劃》中指出,要強化數(shù)字中國關鍵能力,筑牢可信可控的數(shù)字安全屏障;诖,我們需要著重于建立一個全面、穩(wěn)健的安全可信計算環(huán)境,確保軟件供應鏈安全就是其關鍵組成部分之一。本書是一部致力于在這一關鍵領域提供深度見解和實際指導的文獻,它旨在幫助企業(yè)和用戶理解并應對軟件供應鏈中的各種安全風險。
本書深入分析了軟件供應鏈安全的現(xiàn)狀,基于組織和制度建設,系統(tǒng)地介紹了安全研發(fā)體系的構建,相關安全技術能力的提升,以及第三方軟件管理、環(huán)境和數(shù)據(jù)安全管理等策略,在各章節(jié)細致地探討了如何在軟件的需求設計、開發(fā)、驗證、發(fā)布和部署及運營各階段中實施和維護可信計算的原則。本書的一個重點在于強調(diào)安全不應僅作為事后的補救措施,而應并行融合在軟件供應鏈的每個環(huán)節(jié)。為此,本指南還提供了一系列實用的工具和資源,包括安全編碼規(guī)范、安全開發(fā)工具包等。
老子曾說:有道無術,術尚可求,有術無道,止于術。本書不僅為軟件供應鏈安全治理提供了技術實踐指導,還從現(xiàn)狀分析、安全理念、關鍵技術等層面深度探討了如何構建一個強大的治理框架。期望本書能夠為業(yè)界同人提供一份全面且實用的資源,幫助讀者在這個充滿挑戰(zhàn)的領域中更好地思考和決策,從而創(chuàng)造一個更安全、更可信的軟件環(huán)境。
當前,世界百年未有之大變局加速演進,新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展。希望能夠在本書的助力下,與業(yè)界同人共同推進軟件供應鏈安全體系的構建和發(fā)展,為實現(xiàn)安全可信的數(shù)字安全屏障這一目標添磚加瓦,共同夯實網(wǎng)絡空間命運共同體的安全基石。
沈昌祥
中國工程院院士
推薦序二
在數(shù)字化高速發(fā)展的時代,科學技術升級換代,數(shù)字技術正在推動供給側結構性改革和經(jīng)濟發(fā)展的質(zhì)量變革、效率變革、動力變革,數(shù)字技術正在以透析的方式改變?nèi)澜绲慕?jīng)濟血脈。網(wǎng)絡安全作為數(shù)字化發(fā)展的底座,作為核心中的核心,當前面臨著地緣政治、傳統(tǒng)安全與網(wǎng)絡空間安全的交織威脅。網(wǎng)絡安全問題將給數(shù)字化發(fā)展帶來前所未有的挑戰(zhàn)。系統(tǒng)軟件、支撐軟件、應用軟件、工業(yè)軟件及安全軟件等高速發(fā)展,軟件供應鏈安全事件頻發(fā)(如SolarWinds和Log4j2),對用戶隱私、財產(chǎn)安全及國家安全造成了嚴重威脅,直接關系國家關鍵基礎設施和重要信息系統(tǒng)安全。
本書無私地分享了軟件供應鏈安全實踐經(jīng)驗,我深表感動,充分體現(xiàn)了作者對技術創(chuàng)新的執(zhí)著和軟件供應鏈安全的技術情懷。作者以前置伴生、內(nèi)生可控、高效便捷為安全理念,從軟件供應鏈管理與人員安全、供應商安全治理、三方軟件管理、安全融入開發(fā)過程、開發(fā)過程的數(shù)據(jù)安全、軟件開發(fā)環(huán)境安全、運行安全及軟件供應鏈安全管理制度等方面全方位、多維度、深層次、立體化地布控軟件供應鏈安全治理解決方案。技術、管理和服務三管齊下,全面讓安全與數(shù)字建設相同步、相適應,讓安全建設重心從原來的運行時防護轉(zhuǎn)向安全前置,將安全賦能到開發(fā)、測試及運營的各個階段,從源頭根本性地解決安全風險,避免應用帶病運行,讓應用自身具備抵抗力和免疫力,從而構建自主可控、安全可信的軟件供應鏈安全體系,從供給側為數(shù)字中國保駕護航。
本書由安全玻璃盒孝道科技團隊范丙華編寫,總結了其多年來在軟件供應鏈安全領域的一線實踐經(jīng)驗,具有系統(tǒng)性、實用性、前瞻性和適應性等特點,特別對于提升金融行業(yè)的軟件供應鏈安全能力,提供了恰逢其時的安全理念和實踐的傳承,具有很高的參考價值和借鑒意義。
陳天晴
中國人民銀行科技司原副司長
推薦序三
根據(jù)《數(shù)字2023全球概覽報告》,當今世界有約51.6億名互聯(lián)網(wǎng)用戶,這意味著對互聯(lián)網(wǎng)的控制權是一種極高的權力。事實上,幾乎所有人都在追求通過互聯(lián)網(wǎng)影響全世界,如黑客通過病毒,谷歌通過搜索引擎,微軟通過操作系統(tǒng),蘋果公司通過手機,美國政府則通過No Such Agency,甚至網(wǎng)紅也在通過社交媒體或短視頻積極擴大影響力。
其中,如何保障軟件供應鏈安全進而保障自身軟件安全是最基礎、最重要的問題。早在1983年,Unix操作系統(tǒng)發(fā)明人肯尼斯·藍·湯普森(Kenneth Lane Thompson)發(fā)表圖靈獎獲獎感言時,就介紹了如何通過C編譯器在軟件中設置后門,并斷言:只要使用了不安全的代碼,不管做多少檢查都不能保證安全。
軟件早已進入工業(yè)化時代,軟件供應鏈安全的重要性和復雜性都遠超湯普森老先生獲獎之時,但軟件供應鏈安全難題始終缺少標準答案。本書從管理和技術兩個方面,嘗試對開發(fā)、測試、運行等軟件生命周期各個環(huán)節(jié)給出完善且系統(tǒng)的解答,既有坐而論道,又有起而行之,可謂道、法、術、器自成一體,為構建完整的企業(yè)級軟件供應鏈安全體系提供了難得的參考與指南。
《史記·秦始皇本紀》記載:一法度衡石丈尺,車同軌,書同文字。軟件是互聯(lián)網(wǎng)時代人類的共同語言,相信本書必定能夠幫助大家提升軟件供應鏈安全,解決軟件安全應用難題,強化軟件安全共享共用。
張耀欣 博士