軟件供應鏈安全實踐指南

定　價：￥112.00

作　者：	范丙華
出版社：	電子工業(yè)出版社
叢編項：
標　簽：	暫缺

購買這本書可以去

當當網 (￥112.00)

ISBN：	9787121485732	出版時間：	2024-08-01	包裝：	平裝-膠訂
開本：	16開	頁數(shù)：		字數(shù)：

內容簡介

　　本書通過深入探討構建和維護軟件供應鏈安全的實施策略和最佳實踐，以期提供全面的實踐操作指南，幫助讀者理解并應對與軟件供應鏈相關的安全威脅。本作者以“前置伴生、內生可控、高效便捷”為安全理念，從軟件供應鏈管理與人員安全、供應商安全治理、三方軟件管理、安全融入開發(fā)過程、開發(fā)過程的數(shù)據(jù)安全、軟件開發(fā)環(huán)境安全、運行安全以及軟件供應鏈安全管理制度進行全方位、多維度、深層次、立體化地布控軟件供應鏈安全治理解決方案。以技術、管理和服務三管齊下為基準，建立起兩個相互補充的安全閉環(huán)。第一，聚焦軟件研發(fā)內部，形成涵蓋需求設計、開發(fā)、驗證、發(fā)布和部署的安全開發(fā)全生命周期安全閉環(huán);第二，在宏觀層面，從整個軟件供應鏈的角度出發(fā)，包括上游供應商的安全治理以及下游用戶的運行使用安全，確保全生命周期中每個觸點都受到保護。本書可作為網安從業(yè)者對軟件供應鏈安全治理工作的參考和指導。希望在本書的指引下，與業(yè)界同人共同推進軟件供應鏈安全體系的構建和發(fā)展，為筑牢國家網絡安全屏障添磚加瓦、保駕護航。

作者簡介

　　范丙華，安全玻璃盒【杭州孝道科技】創(chuàng)始人＆CEO，高級工程師，從事網絡安全行業(yè)20年，擁有眾多網絡安全核心技術發(fā)明專利；曾參與多項軟件供應鏈安全相關的地方標準、行業(yè)標準和國家標準；被中國信通院、浙江網絡空間安全協(xié)會等多家單位聘請為入庫專家。

圖書目錄

第1章軟件供應鏈安全概述 001
1.1 背景 002
1.1.1 什么是軟件供應鏈安全 003
1.1.2 軟件供應鏈安全現(xiàn)狀 004
1.1.3 軟件供應鏈安全政策法規(guī)及標準 007
1.1.4 軟件供應鏈安全市場 016
1.2 軟件供應鏈攻擊特點 027
1.2.1 攻擊面廣、攻擊門檻低 027
1.2.2 隱蔽性強、潛意識信任 028
1.2.3 傳播性強、傷害性大 028
1.2.4 攻擊手段新、攻擊復雜化 028
1.3 軟件供應鏈面臨的安全挑戰(zhàn) 029
1.3.1 供應商可信度難以評估 029
1.3.2 供應鏈復雜度高 030
1.3.3 軟件供應鏈透明度低 030
1.3.4 風險響應速度慢 031
1.3.5 安全重視程度不足、人員意識薄弱 032
1.3.6 軟件供應鏈安全威脅 033
第2章軟件供應鏈安全治理框架 034
2.1 軟件供應鏈安全治理整體框架 035
2.2 軟件供應鏈安全治理理念 036
2.3 軟件供應鏈安全組織與制度建設 037
2.4 軟件供應鏈安全研發(fā)體系 038
2.5 軟件供應鏈安全技術能力 039
第3章軟件供應鏈安全管理機構與人員 040
3.1 安全管理機構 041
3.1.1 機構崗位設置 041
3.1.2 授權和批準 042
3.1.3 溝通與合作 043
3.1.4 審計和檢查 043
3.1.5 實踐示例 044
3.2 安全管理人員 047
3.2.1 人員招聘 048
3.2.2 離崗人員 048
3.2.3 安全意識教育和培訓 049
第4章軟件供應商安全治理 050
4.1 基本定義 051
4.1.1 軟件供應商在供應鏈中所處位置 051
4.1.2 軟件供應商安全治理意義 052
4.1.3 軟件供應商治理環(huán)節(jié) 053
4.2 明確軟件供應商安全治理總體方針 054
4.2.1 梳理業(yè)務核心需求 055
4.2.2 以政策法規(guī)、領域指標為導向 055
4.3 軟件供應商風險評估 056
4.3.1 供應商資質評估 057
4.3.2 供應商安全評估 063
4.3.3 軟件產品安全評估 070
4.4 供應商引入安全 079
4.5 安全治理職能確立 080
4.6 供應商風險監(jiān)控 082
4.7 供應商清退制度 083
4.7.1 明確清退標準 084
4.7.2 制定清退機制 084
第5章第三方軟件管理 087
5.1 第三方軟件概述 088
5.1.1 什么是第三方軟件 088
5.1.2 第三方軟件風險 089
5.1.3 安全管理的必要性 090
5.2 商用采購軟件安全管理 091
5.2.1 商用采購軟件介紹 091
5.2.2 風險分析 092
5.2.3 安全管理指南 093
5.3 開源軟件安全管理 096
5.3.1 開源軟件介紹 096
5.3.2 風險分析 096
5.3.3 安全管理指南 098
5.4 外包軟件安全管理 100
5.4.1 外包軟件介紹 100
5.4.2 風險分析 101
5.4.3 安全管理指南 103
第6章軟件安全研發(fā)——需求設計階段 106
6.1 需求設計階段的安全必要性 107
6.2 威脅建模 108
6.2.1 威脅建模介紹 108
6.2.2 威脅建模協(xié)助安全需求與安全設計 109
6.3 安全需求 110
6.3.1 常用安全需求分析方法 111
6.3.2 安全需求分析方法在實踐中的應用 119
6.3.3 借助威脅建模生成安全需求 121
6.3.4 安全需求分析實踐案例 124
6.4 安全設計 128
6.4.1 針對安全需求的安全設計 129
6.4.2 安全架構分析 131
6.4.3 設計有效性校驗 135

第7章軟件安全研發(fā)——開發(fā)階段 137
7.1 開發(fā)階段風險分析 138
7.2 安全開發(fā)標準與管理體系 139
7.2.1 安全開發(fā)標準 139
7.2.2 安全開發(fā)管理體系 141
7.3 安全編碼 143
7.3.1 常見代碼漏洞原理和修復方式 143
7.3.2 軟件安全編碼規(guī)范 145
7.4 引入組件的安全 148
7.4.1 第三方組件風險 148
7.4.2 組件選擇 150
7.4.3 引入流程 153
7.4.4 組件修復 156
7.4.5 組件的使用 158
7.5 代碼評審與代碼審計 159
7.5.1 代碼評審 159
7.5.2 代碼審計 161
7.6 安全成果驗收 162
第8章軟件安全研發(fā)——驗證階段 164
8.1 軟件安全驗證框架 166
8.2 安全需求驗證 167
8.3 主流漏洞驗證 170
8.3.1 主流漏洞類型 171
8.3.2 主流漏洞測試方法 172
8.3.3 主流漏洞修復示例 173
8.4 開源組件漏洞驗證 179
8.4.1 開源組件風險類型 179
8.4.2 開源組件風險測試方法 181
8.4.3 開源組件修復示例 182
8.5 業(yè)務邏輯漏洞驗證 183
8.5.1 業(yè)務邏輯漏洞類型 183
8.5.2 業(yè)務邏輯漏洞測試方法 184
8.5.3 業(yè)務邏輯漏洞修復示例 184
8.6 API安全驗證 186
8.6.1 修復API漏洞涉及的內容 187
8.6.2 常見的API漏洞修復示例 187
8.7 App安全驗證 188
8.7.1 App漏洞類型 188
8.7.2 App漏洞測試方法 189
8.7.3 App漏洞修復示例 190
8.8 數(shù)據(jù)安全驗證 190
8.8.1 數(shù)據(jù)安全漏洞類型 190
8.8.2 數(shù)據(jù)安全測試方法 191
8.8.3 數(shù)據(jù)安全漏洞風險及修復示例 192
8.9 上線前安全評審 192
8.9.1 上線前安全評審的重要性 193
8.9.2 安全基線驗證 193
第9章軟件安全研發(fā)——發(fā)布和部署階段 195
9.1 發(fā)布和部署階段的安全風險 197
9.2 實用安全實踐 198
9.2.1 安全發(fā)布管理 198
9.2.2 安全部署策略 204
9.2.3 安全部署測試 207
9.2.4 持續(xù)監(jiān)控和事件響應 209
9.3 基于生命周期的軟件安全發(fā)布流程 210
第10章開發(fā)過程中的數(shù)據(jù)安全 213
10.1 數(shù)據(jù)安全左移 214
10.1.1 計劃設計階段 215
10.1.2 開發(fā)階段 217
10.1.3 驗證階段 224
10.2 軟件供應鏈數(shù)據(jù)安全 224
10.2.1 軟件供應鏈數(shù)據(jù)概述 225
10.2.2 軟件供應鏈數(shù)據(jù)的風險與威脅 229
10.2.3 軟件供應鏈數(shù)據(jù)保護的基本原則和具體措施 235
第11章軟件供應鏈環(huán)境安全 245
11.1 開發(fā)環(huán)境安全 246
11.1.1 軟件開發(fā)環(huán)節(jié) 246
11.1.2 開發(fā)環(huán)境風險 247
11.1.3 開發(fā)環(huán)境安全指南 247
11.2 交付環(huán)境安全 250
11.2.1 分發(fā)市場安全 250
11.2.2 軟件部署安全 250
11.3 使用環(huán)境安全 255
11.3.1 一般計算環(huán)境安全 255
11.3.2 云計算環(huán)境安全 256
第12章軟件供應鏈安全運行管理 258
12.1 安全運行管理概述 259
12.1.1 安全運行時的軟件供應鏈安全風險 259
12.1.2 安全運行時的軟件供應鏈安全管理環(huán)節(jié) 259
12.2 風險基線 260
12.2.1 事先設置風險基線的必要性 260
12.2.2 風險基線的制定 261
12.2.3 風險基線的使用 264
12.3 安全防御 264
12.3.1 運行時應用程序自我保護 265
12.3.2 開源組件安全防御 267
12.3.3 Web應用程序防火墻 267
12.3.4 其他工具 269
12.4 監(jiān)控風險 270
12.5 響應與處置 273
12.5.1 應急響應團隊 274
12.5.2 應急響應過程 274
12.5.3 溝通渠道 277
第13章軟件供應鏈安全制度 279
13.1 制定與修訂 280
13.1.1 安全策略 280
13.1.2 目標 280
13.1.3 制定和發(fā)布 280
13.1.4 審查和修訂 281
13.2 參與人員管理 281
13.2.1 安全責任書 281
13.2.2 權限分配 281
13.2.3 能力和資格評估 282
13.2.4 背景核查 282
13.2.5 技能培訓和發(fā)展 282
13.2.6 離職管理 282
13.3 供應商管理 283
13.3.1 供應商的選擇 283
13.3.2 風險評估 284
13.3.3 合同要求 284
13.3.4 供應商監(jiān)控 284
13.4 產品采購和使用管理 285
13.4.1 遵守國家法規(guī) 285
13.4.2 產品選擇和評估 285
13.4.3 安全責任劃分 286
13.4.4 關鍵部件的特殊測試 286
13.4.5 持續(xù)監(jiān)控和改進 286
13.4.6 知識產權管理 287
13.5 安全設計管理 287
13.5.1 威脅建模 287
13.5.2 安全需求設計 287
13.5.3 安全架構設計 288
13.6 安全開發(fā)管理 288
13.6.1 內部軟件開發(fā)管理 288
13.6.2 外包軟件開發(fā)管理 289
13.6.3 外部組件管理 290
13.7 軟件代碼庫管理 290
13.7.1 統(tǒng)一的軟件產品和源代碼庫 291
13.7.2 代碼庫分支 291
13.7.3 安全漏洞檢測 291
13.7.4 代碼和組件的可用性 291
13.7.5 清潔和安全的軟件代碼 291
13.8 安全檢測管理 292
13.8.1 安全檢測方法 292
13.8.2 第三方軟件風險檢測 292
13.8.3 檢測規(guī)劃和執(zhí)行 292
13.8.4 檢測結果分析和補救 293
13.8.5 檢測報告和文檔 293
13.8.6 持續(xù)改進 293
13.9 風險與漏洞管理 293
13.9.1 風險管理 293
13.9.2 漏洞管理 294
13.10 檢測驗收管理 295
13.10.1 檢測驗收計劃 295
13.10.2 檢測驗收的執(zhí)行 296
13.10.3 檢測驗收報告 296
13.10.4 部署前的安全測試 296
13.10.5 交付清單和設備驗證 296
13.10.6 操作和維護人員的技能培訓 296
13.10.7 文件和記錄的保存 297
13.10.8 軟件廢止 297
13.11 安全事件管理 297
13.11.1 應急計劃管理 297
13.11.2 安全事件處理 298
附錄A 術語 300
附錄B Java安全編碼規(guī)范 303
附錄C C語言安全編碼規(guī)范 359
附錄D 安全SDK 378
附錄E 相關技術介紹 391
參考資料 422