本書通過深入探討構(gòu)建和維護(hù)軟件供應(yīng)鏈安全的實施策略和最佳實踐,以期提供全面的實踐操作指南,幫助讀者理解并應(yīng)對與軟件供應(yīng)鏈相關(guān)的安全威脅。
本作者以前置伴生、內(nèi)生可控、高效便捷為安全理念,從軟件供應(yīng)鏈管理與人員安全、供應(yīng)商安全治理、三方軟件管理、安全融入開發(fā)過程、開發(fā)過程的數(shù)據(jù)安全、軟件開發(fā)環(huán)境安全、運行安全以及軟件供應(yīng)鏈安全管理制度進(jìn)行全方位、多維度、深層次、立體化地布控軟件供應(yīng)鏈安全治理解決方案。以技術(shù)、管理和服務(wù)三管齊下為基準(zhǔn),建立起兩個相互補(bǔ)充的安全閉環(huán)。第一,聚焦軟件研發(fā)內(nèi)部,形成涵蓋需求設(shè)計、開發(fā)、驗證、發(fā)布和部署的安全開發(fā)全生命周期安全閉環(huán);第二,在宏觀層面,從整個軟件供應(yīng)鏈的角度出發(fā),包括上游供應(yīng)商的安全治理以及下游用戶的運行使用安全,確保全生命周期中每個觸點都受到保護(hù)。
本書可作為網(wǎng)安從業(yè)者對軟件供應(yīng)鏈安全治理工作的參考和指導(dǎo)。希望在本書的指引下,與業(yè)界同人共同推進(jìn)軟件供應(yīng)鏈安全體系的構(gòu)建和發(fā)展,為筑牢國家網(wǎng)絡(luò)安全屏障添磚加瓦、保駕護(hù)航。
推薦序一
科學(xué)革命為人類帶來了對自然界的深入理解和對知識體系的根本重構(gòu),工業(yè)革命通過機(jī)械化方式極大地提高了生產(chǎn)效率,這兩場革命共同奠定了現(xiàn)代社會的基礎(chǔ)。計算機(jī)革命則成為這一進(jìn)程的延續(xù)和發(fā)展,它們在信息時代為人類社會帶來了前所未有的變革,也奠定了數(shù)字化時代的基礎(chǔ)。
在如今的數(shù)字化浪潮下,建設(shè)數(shù)字中國是數(shù)字時代推進(jìn)中國式現(xiàn)代化的重要引擎!稊(shù)字中國建設(shè)整體布局規(guī)劃》中指出,要強(qiáng)化數(shù)字中國關(guān)鍵能力,筑牢可信可控的數(shù)字安全屏障;诖耍覀冃枰赜诮⒁粋全面、穩(wěn)健的安全可信計算環(huán)境,確保軟件供應(yīng)鏈安全就是其關(guān)鍵組成部分之一。本書是一部致力于在這一關(guān)鍵領(lǐng)域提供深度見解和實際指導(dǎo)的文獻(xiàn),它旨在幫助企業(yè)和用戶理解并應(yīng)對軟件供應(yīng)鏈中的各種安全風(fēng)險。
本書深入分析了軟件供應(yīng)鏈安全的現(xiàn)狀,基于組織和制度建設(shè),系統(tǒng)地介紹了安全研發(fā)體系的構(gòu)建,相關(guān)安全技術(shù)能力的提升,以及第三方軟件管理、環(huán)境和數(shù)據(jù)安全管理等策略,在各章節(jié)細(xì)致地探討了如何在軟件的需求設(shè)計、開發(fā)、驗證、發(fā)布和部署及運營各階段中實施和維護(hù)可信計算的原則。本書的一個重點在于強(qiáng)調(diào)安全不應(yīng)僅作為事后的補(bǔ)救措施,而應(yīng)并行融合在軟件供應(yīng)鏈的每個環(huán)節(jié)。為此,本指南還提供了一系列實用的工具和資源,包括安全編碼規(guī)范、安全開發(fā)工具包等。
老子曾說:有道無術(shù),術(shù)尚可求,有術(shù)無道,止于術(shù)。本書不僅為軟件供應(yīng)鏈安全治理提供了技術(shù)實踐指導(dǎo),還從現(xiàn)狀分析、安全理念、關(guān)鍵技術(shù)等層面深度探討了如何構(gòu)建一個強(qiáng)大的治理框架。期望本書能夠為業(yè)界同人提供一份全面且實用的資源,幫助讀者在這個充滿挑戰(zhàn)的領(lǐng)域中更好地思考和決策,從而創(chuàng)造一個更安全、更可信的軟件環(huán)境。
當(dāng)前,世界百年未有之大變局加速演進(jìn),新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展。希望能夠在本書的助力下,與業(yè)界同人共同推進(jìn)軟件供應(yīng)鏈安全體系的構(gòu)建和發(fā)展,為實現(xiàn)安全可信的數(shù)字安全屏障這一目標(biāo)添磚加瓦,共同夯實網(wǎng)絡(luò)空間命運共同體的安全基石。
沈昌祥
中國工程院院士
推薦序二
在數(shù)字化高速發(fā)展的時代,科學(xué)技術(shù)升級換代,數(shù)字技術(shù)正在推動供給側(cè)結(jié)構(gòu)性改革和經(jīng)濟(jì)發(fā)展的質(zhì)量變革、效率變革、動力變革,數(shù)字技術(shù)正在以透析的方式改變?nèi)澜绲慕?jīng)濟(jì)血脈。網(wǎng)絡(luò)安全作為數(shù)字化發(fā)展的底座,作為核心中的核心,當(dāng)前面臨著地緣政治、傳統(tǒng)安全與網(wǎng)絡(luò)空間安全的交織威脅。網(wǎng)絡(luò)安全問題將給數(shù)字化發(fā)展帶來前所未有的挑戰(zhàn)。系統(tǒng)軟件、支撐軟件、應(yīng)用軟件、工業(yè)軟件及安全軟件等高速發(fā)展,軟件供應(yīng)鏈安全事件頻發(fā)(如SolarWinds和Log4j2),對用戶隱私、財產(chǎn)安全及國家安全造成了嚴(yán)重威脅,直接關(guān)系國家關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)安全。
本書無私地分享了軟件供應(yīng)鏈安全實踐經(jīng)驗,我深表感動,充分體現(xiàn)了作者對技術(shù)創(chuàng)新的執(zhí)著和軟件供應(yīng)鏈安全的技術(shù)情懷。作者以前置伴生、內(nèi)生可控、高效便捷為安全理念,從軟件供應(yīng)鏈管理與人員安全、供應(yīng)商安全治理、三方軟件管理、安全融入開發(fā)過程、開發(fā)過程的數(shù)據(jù)安全、軟件開發(fā)環(huán)境安全、運行安全及軟件供應(yīng)鏈安全管理制度等方面全方位、多維度、深層次、立體化地布控軟件供應(yīng)鏈安全治理解決方案。技術(shù)、管理和服務(wù)三管齊下,全面讓安全與數(shù)字建設(shè)相同步、相適應(yīng),讓安全建設(shè)重心從原來的運行時防護(hù)轉(zhuǎn)向安全前置,將安全賦能到開發(fā)、測試及運營的各個階段,從源頭根本性地解決安全風(fēng)險,避免應(yīng)用帶病運行,讓應(yīng)用自身具備抵抗力和免疫力,從而構(gòu)建自主可控、安全可信的軟件供應(yīng)鏈安全體系,從供給側(cè)為數(shù)字中國保駕護(hù)航。
本書由安全玻璃盒孝道科技團(tuán)隊范丙華編寫,總結(jié)了其多年來在軟件供應(yīng)鏈安全領(lǐng)域的一線實踐經(jīng)驗,具有系統(tǒng)性、實用性、前瞻性和適應(yīng)性等特點,特別對于提升金融行業(yè)的軟件供應(yīng)鏈安全能力,提供了恰逢其時的安全理念和實踐的傳承,具有很高的參考價值和借鑒意義。
陳天晴
中國人民銀行科技司原副司長
推薦序三
根據(jù)《數(shù)字2023全球概覽報告》,當(dāng)今世界有約51.6億名互聯(lián)網(wǎng)用戶,這意味著對互聯(lián)網(wǎng)的控制權(quán)是一種極高的權(quán)力。事實上,幾乎所有人都在追求通過互聯(lián)網(wǎng)影響全世界,如黑客通過病毒,谷歌通過搜索引擎,微軟通過操作系統(tǒng),蘋果公司通過手機(jī),美國政府則通過No Such Agency,甚至網(wǎng)紅也在通過社交媒體或短視頻積極擴(kuò)大影響力。
其中,如何保障軟件供應(yīng)鏈安全進(jìn)而保障自身軟件安全是最基礎(chǔ)、最重要的問題。早在1983年,Unix操作系統(tǒng)發(fā)明人肯尼斯·藍(lán)·湯普森(Kenneth Lane Thompson)發(fā)表圖靈獎獲獎感言時,就介紹了如何通過C編譯器在軟件中設(shè)置后門,并斷言:只要使用了不安全的代碼,不管做多少檢查都不能保證安全。
軟件早已進(jìn)入工業(yè)化時代,軟件供應(yīng)鏈安全的重要性和復(fù)雜性都遠(yuǎn)超湯普森老先生獲獎之時,但軟件供應(yīng)鏈安全難題始終缺少標(biāo)準(zhǔn)答案。本書從管理和技術(shù)兩個方面,嘗試對開發(fā)、測試、運行等軟件生命周期各個環(huán)節(jié)給出完善且系統(tǒng)的解答,既有坐而論道,又有起而行之,可謂道、法、術(shù)、器自成一體,為構(gòu)建完整的企業(yè)級軟件供應(yīng)鏈安全體系提供了難得的參考與指南。
《史記·秦始皇本紀(jì)》記載:一法度衡石丈尺,車同軌,書同文字。軟件是互聯(lián)網(wǎng)時代人類的共同語言,相信本書必定能夠幫助大家提升軟件供應(yīng)鏈安全,解決軟件安全應(yīng)用難題,強(qiáng)化軟件安全共享共用。
張耀欣 博士