《軟件供應(yīng)鏈安全實(shí)踐指南》正式出版發(fā)行

范丙華主編   安全玻璃盒安全團(tuán)隊(duì)編著

中國工程院院士沈昌祥 極力推薦

中國人民銀行科技司原副司長陳天晴、浙商銀行資深安全專家孫鋼、數(shù)世咨詢創(chuàng)始人&CEO李少鵬、浙江網(wǎng)絡(luò)空間安全協(xié)會理事長宋皆榮、安恒信息高級副總裁袁明坤、原阿里云安全首席科學(xué)家 KMind AI創(chuàng)始人吳翰清、張耀欣博士、資深安全專家白日等聯(lián)袂力薦。

本書結(jié)合安全玻璃盒多年軟件供應(yīng)鏈安全實(shí)踐經(jīng)驗(yàn)積累，全面闡述軟件供應(yīng)鏈安全的背景和定義，深入剖析軟件供應(yīng)鏈安全關(guān)鍵技術(shù)，具體分析軟件安全研發(fā)全生命周期的安全建設(shè)，提出了軟件供應(yīng)鏈安全治理框架及方案，為我國軟件供應(yīng)鏈安全技術(shù)創(chuàng)新和發(fā)展提供參考。

一、為什么編寫此書？

我們想通過此書的發(fā)布，希望能推動國家數(shù)字軟件供應(yīng)鏈安全領(lǐng)域的建設(shè)和發(fā)展，為筑牢國家數(shù)字安全屏障盡點(diǎn)微薄之力。因當(dāng)前面對嚴(yán)峻復(fù)雜的國際形勢，深受貿(mào)易摩擦、技術(shù)封鎖、技術(shù)斷供、網(wǎng)絡(luò)戰(zhàn)等因素影響，以及數(shù)字技術(shù)與應(yīng)用高速發(fā)展，造成軟件供應(yīng)鏈安全事件頻發(fā)，包括因漏洞風(fēng)險(xiǎn)導(dǎo)致的數(shù)據(jù)泄漏、知識產(chǎn)權(quán)風(fēng)險(xiǎn)、斷供風(fēng)險(xiǎn)及投毒風(fēng)險(xiǎn)等，給用戶隱私安全、財(cái)產(chǎn)安全乃至國家安全帶來了嚴(yán)重威脅。其次，在數(shù)字應(yīng)用已全面實(shí)現(xiàn)在線化、數(shù)據(jù)化、智能化，安全已不僅是簡單的護(hù)衛(wèi)隊(duì)角色，安全不再孤立存在，安全應(yīng)成為軟硬件產(chǎn)品本身的一種能力；安全也不僅是使用者、運(yùn)營者的責(zé)任，更是設(shè)計(jì)者、制造者、生產(chǎn)者的責(zé)任。當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢正在倒逼企業(yè)逐步轉(zhuǎn)變安全理念，應(yīng)以“不是需要更多的安全軟件、而是需要更安全的軟件”為安全發(fā)展理念，從運(yùn)行時(shí)防護(hù)轉(zhuǎn)向構(gòu)建自主可控、安全可信的內(nèi)生性軟件供應(yīng)鏈安全體系。從“打針吃藥事后補(bǔ)丁修復(fù)方式”逐步轉(zhuǎn)向“提升自身抵抗力、抗攻擊能力和免疫能力”。

二、此書的內(nèi)容概要？

圍繞以如何構(gòu)建安全可信、內(nèi)生可控的軟件供應(yīng)鏈安全體系為總體綱要：本書以“前置伴生、內(nèi)生可控、高效便捷”為安全理念，從軟件供應(yīng)鏈管理與人員機(jī)構(gòu)安全、供應(yīng)商安全治理、三方軟件管理、安全融入開發(fā)過程、開發(fā)過程的數(shù)據(jù)安全、軟件開發(fā)環(huán)境安全、運(yùn)行安全以及軟件供應(yīng)鏈安全管理制度進(jìn)行全方位、多維度、深層次、立體化地布控軟件供應(yīng)鏈安全治理解決方案。以技術(shù)、管理和服務(wù)三管齊下為基準(zhǔn)，形成了兩個(gè)相互補(bǔ)充的安全閉環(huán)。第一,聚焦軟件研發(fā)內(nèi)部,形成涵蓋需求設(shè)計(jì)、開發(fā)、驗(yàn)證、發(fā)布和部署的安全開發(fā)全生命周期安全閉環(huán);第二,在宏觀層面,從整個(gè)軟件供應(yīng)鏈的角度出發(fā)，包括上游供應(yīng)商的安全治理以及下游用戶的運(yùn)行使用安全，確保全生命周期中每個(gè)觸點(diǎn)都受到保護(hù)。同時(shí)，在這兩個(gè)閉環(huán)中穿插軟件供應(yīng)鏈安全組織架構(gòu)的建設(shè)、相關(guān)安全制度的確立，以實(shí)現(xiàn)對整個(gè)軟件供應(yīng)鏈安全的全方位覆蓋。這種雙重閉環(huán)策略確保了從源頭到終端用戶，每一個(gè)環(huán)節(jié)都不會被忽視，從而為構(gòu)建一個(gè)更加安全的軟件供應(yīng)鏈生態(tài)系統(tǒng)提供堅(jiān)實(shí)的基礎(chǔ)。

三、此書的定位和意義？

本書可作為網(wǎng)安從業(yè)者對軟件供應(yīng)鏈安全治理工作的參考和指導(dǎo)。希望在本書的指引下，與業(yè)界同仁共同推進(jìn)軟件供應(yīng)鏈安全體系的構(gòu)建和發(fā)展，為筑牢國家網(wǎng)絡(luò)安全屏障添磚加瓦、保駕護(hù)航。

最后，因我們的時(shí)間倉促、編者的水平有限，書中的錯(cuò)誤和缺點(diǎn)在所難免,在此懇請廣大讀者提出批評和指正，以便今后修訂、再版時(shí)得到改進(jìn)和完善，以便能夠更好的推動國家數(shù)字軟件供應(yīng)鏈安全領(lǐng)域的發(fā)展。在此預(yù)致謝意。

大咖力薦：

即日起，截止到2024年8月31日12:00，轉(zhuǎn)發(fā)至朋友圈獲贊50個(gè)，聯(lián)系小編微信將獲得《軟件供應(yīng)鏈安全實(shí)踐指南》1本。贈書數(shù)量有限，期待您的參與！

關(guān)于安全玻璃盒：

安全玻璃盒【杭州孝道科技】是一家專注于為用戶提供軟件供應(yīng)鏈安全產(chǎn)品和解決方案的國家高新技術(shù)企業(yè)、省級專精特新企業(yè)。

安全玻璃盒始終堅(jiān)持以科技創(chuàng)新助力國家數(shù)字軟件供應(yīng)鏈安全，以“不是需要更多的安全軟件、而是需要更安全的軟件”為安全發(fā)展理念。公司已擁有三十余項(xiàng)技術(shù)發(fā)明專利和七十余項(xiàng)自主軟件著作權(quán)，通過基于AI模型和卷積神經(jīng)網(wǎng)絡(luò)，自主研發(fā)了全鏈路智能動態(tài)污點(diǎn)分析、函數(shù)級智能基因檢測與自動化驗(yàn)證等核心技術(shù)與產(chǎn)品，為用戶提供DevSecOps安全開發(fā)解決方案、軟件供應(yīng)鏈安全一體化解決方案、上線即安全與免疫防御解決方案、基于SBOM開源軟件供應(yīng)鏈安全情報(bào)與治理、軟件供應(yīng)鏈安全安全檢查評估工具等。目前已覆蓋各大關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的TOP級用戶，包括中國證監(jiān)會、興業(yè)銀行、浙商銀行、廣東農(nóng)信社、浙江農(nóng)信社、河北農(nóng)信社、杭州銀行、北京銀行、河北銀行、國家進(jìn)出口保險(xiǎn)、中國移動、中國電信、中國聯(lián)通、國家電網(wǎng)及各省市級大數(shù)據(jù)發(fā)展管理局等TOP級用戶，同時(shí)也服務(wù)了亞運(yùn)會軟件供應(yīng)鏈安全檢查、關(guān)鍵基礎(chǔ)設(shè)施用戶軟件供應(yīng)鏈安全專項(xiàng)檢查等技術(shù)支撐工作。

免責(zé)聲明：市場有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：