《軟件供應鏈安全實踐指南》正式出版發(fā)行
范丙華主編 安全玻璃盒安全團隊編著
中國工程院院士沈昌祥 極力推薦
中國人民銀行科技司原副司長陳天晴、浙商銀行資深安全專家孫鋼、數(shù)世咨詢創(chuàng)始人&CEO李少鵬、浙江網(wǎng)絡空間安全協(xié)會理事長宋皆榮、安恒信息高級副總裁袁明坤、原阿里云安全首席科學家 KMind AI創(chuàng)始人吳翰清、張耀欣博士、資深安全專家白日等聯(lián)袂力薦。
本書結(jié)合安全玻璃盒多年軟件供應鏈安全實踐經(jīng)驗積累,全面闡述軟件供應鏈安全的背景和定義,深入剖析軟件供應鏈安全關鍵技術(shù),具體分析軟件安全研發(fā)全生命周期的安全建設,提出了軟件供應鏈安全治理框架及方案,為我國軟件供應鏈安全技術(shù)創(chuàng)新和發(fā)展提供參考。
一、為什么編寫此書?
我們想通過此書的發(fā)布,希望能推動國家數(shù)字軟件供應鏈安全領域的建設和發(fā)展,為筑牢國家數(shù)字安全屏障盡點微薄之力。因當前面對嚴峻復雜的國際形勢,深受貿(mào)易摩擦、技術(shù)封鎖、技術(shù)斷供、網(wǎng)絡戰(zhàn)等因素影響,以及數(shù)字技術(shù)與應用高速發(fā)展,造成軟件供應鏈安全事件頻發(fā),包括因漏洞風險導致的數(shù)據(jù)泄漏、知識產(chǎn)權(quán)風險、斷供風險及投毒風險等,給用戶隱私安全、財產(chǎn)安全乃至國家安全帶來了嚴重威脅。其次,在數(shù)字應用已全面實現(xiàn)在線化、數(shù)據(jù)化、智能化,安全已不僅是簡單的護衛(wèi)隊角色,安全不再孤立存在,安全應成為軟硬件產(chǎn)品本身的一種能力;安全也不僅是使用者、運營者的責任,更是設計者、制造者、生產(chǎn)者的責任。當前嚴峻的網(wǎng)絡安全形勢正在倒逼企業(yè)逐步轉(zhuǎn)變安全理念,應以“不是需要更多的安全軟件、而是需要更安全的軟件”為安全發(fā)展理念,從運行時防護轉(zhuǎn)向構(gòu)建自主可控、安全可信的內(nèi)生性軟件供應鏈安全體系。從“打針吃藥事后補丁修復方式”逐步轉(zhuǎn)向“提升自身抵抗力、抗攻擊能力和免疫能力”。
二、此書的內(nèi)容概要?
圍繞以如何構(gòu)建安全可信、內(nèi)生可控的軟件供應鏈安全體系為總體綱要:本書以“前置伴生、內(nèi)生可控、高效便捷”為安全理念,從軟件供應鏈管理與人員機構(gòu)安全、供應商安全治理、三方軟件管理、安全融入開發(fā)過程、開發(fā)過程的數(shù)據(jù)安全、軟件開發(fā)環(huán)境安全、運行安全以及軟件供應鏈安全管理制度進行全方位、多維度、深層次、立體化地布控軟件供應鏈安全治理解決方案。以技術(shù)、管理和服務三管齊下為基準,形成了兩個相互補充的安全閉環(huán)。第一,聚焦軟件研發(fā)內(nèi)部,形成涵蓋需求設計、開發(fā)、驗證、發(fā)布和部署的安全開發(fā)全生命周期安全閉環(huán);第二,在宏觀層面,從整個軟件供應鏈的角度出發(fā),包括上游供應商的安全治理以及下游用戶的運行使用安全,確保全生命周期中每個觸點都受到保護。同時,在這兩個閉環(huán)中穿插軟件供應鏈安全組織架構(gòu)的建設、相關安全制度的確立,以實現(xiàn)對整個軟件供應鏈安全的全方位覆蓋。這種雙重閉環(huán)策略確保了從源頭到終端用戶,每一個環(huán)節(jié)都不會被忽視,從而為構(gòu)建一個更加安全的軟件供應鏈生態(tài)系統(tǒng)提供堅實的基礎。
三、此書的定位和意義?
本書可作為網(wǎng)安從業(yè)者對軟件供應鏈安全治理工作的參考和指導。希望在本書的指引下,與業(yè)界同仁共同推進軟件供應鏈安全體系的構(gòu)建和發(fā)展,為筑牢國家網(wǎng)絡安全屏障添磚加瓦、保駕護航。
最后,因我們的時間倉促、編者的水平有限,書中的錯誤和缺點在所難免,在此懇請廣大讀者提出批評和指正,以便今后修訂、再版時得到改進和完善,以便能夠更好的推動國家數(shù)字軟件供應鏈安全領域的發(fā)展。在此預致謝意。
大咖力薦:
即日起,截止到2024年8月31日12:00,轉(zhuǎn)發(fā)至朋友圈獲贊50個,聯(lián)系小編微信將獲得《軟件供應鏈安全實踐指南》1本。贈書數(shù)量有限,期待您的參與!
關于安全玻璃盒:
安全玻璃盒【杭州孝道科技】是一家專注于為用戶提供軟件供應鏈安全產(chǎn)品和解決方案的國家高新技術(shù)企業(yè)、省級專精特新企業(yè)。
安全玻璃盒始終堅持以科技創(chuàng)新助力國家數(shù)字軟件供應鏈安全,以“不是需要更多的安全軟件、而是需要更安全的軟件”為安全發(fā)展理念。公司已擁有三十余項技術(shù)發(fā)明專利和七十余項自主軟件著作權(quán),通過基于AI模型和卷積神經(jīng)網(wǎng)絡,自主研發(fā)了全鏈路智能動態(tài)污點分析、函數(shù)級智能基因檢測與自動化驗證等核心技術(shù)與產(chǎn)品,為用戶提供DevSecOps安全開發(fā)解決方案、軟件供應鏈安全一體化解決方案、上線即安全與免疫防御解決方案、基于SBOM開源軟件供應鏈安全情報與治理、軟件供應鏈安全安全檢查評估工具等。目前已覆蓋各大關鍵基礎設施行業(yè)的TOP級用戶,包括中國證監(jiān)會、興業(yè)銀行、浙商銀行、廣東農(nóng)信社、浙江農(nóng)信社、河北農(nóng)信社、杭州銀行、北京銀行、河北銀行、國家進出口保險、中國移動、中國電信、中國聯(lián)通、國家電網(wǎng)及各省市級大數(shù)據(jù)發(fā)展管理局等TOP級用戶,同時也服務了亞運會軟件供應鏈安全檢查、關鍵基礎設施用戶軟件供應鏈安全專項檢查等技術(shù)支撐工作。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據(jù)。
關鍵詞:
