軟件供應(yīng)鏈安全實(shí)踐指南

定　價(jià)：￥112.00

作　者：	范丙華
出版社：	電子工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購(gòu)買這本書可以去

當(dāng)當(dāng)網(wǎng) (￥112.00)

ISBN：	9787121485732	出版時(shí)間：	2024-08-01	包裝：	平裝-膠訂
開本：	16開	頁(yè)數(shù)：		字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書通過(guò)深入探討構(gòu)建和維護(hù)軟件供應(yīng)鏈安全的實(shí)施策略和最佳實(shí)踐，以期提供全面的實(shí)踐操作指南，幫助讀者理解并應(yīng)對(duì)與軟件供應(yīng)鏈相關(guān)的安全威脅。本作者以“前置伴生、內(nèi)生可控、高效便捷”為安全理念，從軟件供應(yīng)鏈管理與人員安全、供應(yīng)商安全治理、三方軟件管理、安全融入開發(fā)過(guò)程、開發(fā)過(guò)程的數(shù)據(jù)安全、軟件開發(fā)環(huán)境安全、運(yùn)行安全以及軟件供應(yīng)鏈安全管理制度進(jìn)行全方位、多維度、深層次、立體化地布控軟件供應(yīng)鏈安全治理解決方案。以技術(shù)、管理和服務(wù)三管齊下為基準(zhǔn)，建立起兩個(gè)相互補(bǔ)充的安全閉環(huán)。第一，聚焦軟件研發(fā)內(nèi)部，形成涵蓋需求設(shè)計(jì)、開發(fā)、驗(yàn)證、發(fā)布和部署的安全開發(fā)全生命周期安全閉環(huán);第二，在宏觀層面，從整個(gè)軟件供應(yīng)鏈的角度出發(fā)，包括上游供應(yīng)商的安全治理以及下游用戶的運(yùn)行使用安全，確保全生命周期中每個(gè)觸點(diǎn)都受到保護(hù)。本書可作為網(wǎng)安從業(yè)者對(duì)軟件供應(yīng)鏈安全治理工作的參考和指導(dǎo)。希望在本書的指引下，與業(yè)界同人共同推進(jìn)軟件供應(yīng)鏈安全體系的構(gòu)建和發(fā)展，為筑牢國(guó)家網(wǎng)絡(luò)安全屏障添磚加瓦、保駕護(hù)航。

作者簡(jiǎn)介

　　范丙華，安全玻璃盒【杭州孝道科技】創(chuàng)始人＆CEO，高級(jí)工程師，從事網(wǎng)絡(luò)安全行業(yè)20年，擁有眾多網(wǎng)絡(luò)安全核心技術(shù)發(fā)明專利；曾參與多項(xiàng)軟件供應(yīng)鏈安全相關(guān)的地方標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)；被中國(guó)信通院、浙江網(wǎng)絡(luò)空間安全協(xié)會(huì)等多家單位聘請(qǐng)為入庫(kù)專家。

圖書目錄

第1章軟件供應(yīng)鏈安全概述 001
1.1 背景 002
1.1.1 什么是軟件供應(yīng)鏈安全 003
1.1.2 軟件供應(yīng)鏈安全現(xiàn)狀 004
1.1.3 軟件供應(yīng)鏈安全政策法規(guī)及標(biāo)準(zhǔn) 007
1.1.4 軟件供應(yīng)鏈安全市場(chǎng) 016
1.2 軟件供應(yīng)鏈攻擊特點(diǎn) 027
1.2.1 攻擊面廣、攻擊門檻低 027
1.2.2 隱蔽性強(qiáng)、潛意識(shí)信任 028
1.2.3 傳播性強(qiáng)、傷害性大 028
1.2.4 攻擊手段新、攻擊復(fù)雜化 028
1.3 軟件供應(yīng)鏈面臨的安全挑戰(zhàn) 029
1.3.1 供應(yīng)商可信度難以評(píng)估 029
1.3.2 供應(yīng)鏈復(fù)雜度高 030
1.3.3 軟件供應(yīng)鏈透明度低 030
1.3.4 風(fēng)險(xiǎn)響應(yīng)速度慢 031
1.3.5 安全重視程度不足、人員意識(shí)薄弱 032
1.3.6 軟件供應(yīng)鏈安全威脅 033
第2章軟件供應(yīng)鏈安全治理框架 034
2.1 軟件供應(yīng)鏈安全治理整體框架 035
2.2 軟件供應(yīng)鏈安全治理理念 036
2.3 軟件供應(yīng)鏈安全組織與制度建設(shè) 037
2.4 軟件供應(yīng)鏈安全研發(fā)體系 038
2.5 軟件供應(yīng)鏈安全技術(shù)能力 039
第3章軟件供應(yīng)鏈安全管理機(jī)構(gòu)與人員 040
3.1 安全管理機(jī)構(gòu) 041
3.1.1 機(jī)構(gòu)崗位設(shè)置 041
3.1.2 授權(quán)和批準(zhǔn) 042
3.1.3 溝通與合作 043
3.1.4 審計(jì)和檢查 043
3.1.5 實(shí)踐示例 044
3.2 安全管理人員 047
3.2.1 人員招聘 048
3.2.2 離崗人員 048
3.2.3 安全意識(shí)教育和培訓(xùn) 049
第4章軟件供應(yīng)商安全治理 050
4.1 基本定義 051
4.1.1 軟件供應(yīng)商在供應(yīng)鏈中所處位置 051
4.1.2 軟件供應(yīng)商安全治理意義 052
4.1.3 軟件供應(yīng)商治理環(huán)節(jié) 053
4.2 明確軟件供應(yīng)商安全治理總體方針 054
4.2.1 梳理業(yè)務(wù)核心需求 055
4.2.2 以政策法規(guī)、領(lǐng)域指標(biāo)為導(dǎo)向 055
4.3 軟件供應(yīng)商風(fēng)險(xiǎn)評(píng)估 056
4.3.1 供應(yīng)商資質(zhì)評(píng)估 057
4.3.2 供應(yīng)商安全評(píng)估 063
4.3.3 軟件產(chǎn)品安全評(píng)估 070
4.4 供應(yīng)商引入安全 079
4.5 安全治理職能確立 080
4.6 供應(yīng)商風(fēng)險(xiǎn)監(jiān)控 082
4.7 供應(yīng)商清退制度 083
4.7.1 明確清退標(biāo)準(zhǔn) 084
4.7.2 制定清退機(jī)制 084
第5章第三方軟件管理 087
5.1 第三方軟件概述 088
5.1.1 什么是第三方軟件 088
5.1.2 第三方軟件風(fēng)險(xiǎn) 089
5.1.3 安全管理的必要性 090
5.2 商用采購(gòu)軟件安全管理 091
5.2.1 商用采購(gòu)軟件介紹 091
5.2.2 風(fēng)險(xiǎn)分析 092
5.2.3 安全管理指南 093
5.3 開源軟件安全管理 096
5.3.1 開源軟件介紹 096
5.3.2 風(fēng)險(xiǎn)分析 096
5.3.3 安全管理指南 098
5.4 外包軟件安全管理 100
5.4.1 外包軟件介紹 100
5.4.2 風(fēng)險(xiǎn)分析 101
5.4.3 安全管理指南 103
第6章軟件安全研發(fā)——需求設(shè)計(jì)階段 106
6.1 需求設(shè)計(jì)階段的安全必要性 107
6.2 威脅建模 108
6.2.1 威脅建模介紹 108
6.2.2 威脅建模協(xié)助安全需求與安全設(shè)計(jì) 109
6.3 安全需求 110
6.3.1 常用安全需求分析方法 111
6.3.2 安全需求分析方法在實(shí)踐中的應(yīng)用 119
6.3.3 借助威脅建模生成安全需求 121
6.3.4 安全需求分析實(shí)踐案例 124
6.4 安全設(shè)計(jì) 128
6.4.1 針對(duì)安全需求的安全設(shè)計(jì) 129
6.4.2 安全架構(gòu)分析 131
6.4.3 設(shè)計(jì)有效性校驗(yàn) 135

第7章軟件安全研發(fā)——開發(fā)階段 137
7.1 開發(fā)階段風(fēng)險(xiǎn)分析 138
7.2 安全開發(fā)標(biāo)準(zhǔn)與管理體系 139
7.2.1 安全開發(fā)標(biāo)準(zhǔn) 139
7.2.2 安全開發(fā)管理體系 141
7.3 安全編碼 143
7.3.1 常見代碼漏洞原理和修復(fù)方式 143
7.3.2 軟件安全編碼規(guī)范 145
7.4 引入組件的安全 148
7.4.1 第三方組件風(fēng)險(xiǎn) 148
7.4.2 組件選擇 150
7.4.3 引入流程 153
7.4.4 組件修復(fù) 156
7.4.5 組件的使用 158
7.5 代碼評(píng)審與代碼審計(jì) 159
7.5.1 代碼評(píng)審 159
7.5.2 代碼審計(jì) 161
7.6 安全成果驗(yàn)收 162
第8章軟件安全研發(fā)——驗(yàn)證階段 164
8.1 軟件安全驗(yàn)證框架 166
8.2 安全需求驗(yàn)證 167
8.3 主流漏洞驗(yàn)證 170
8.3.1 主流漏洞類型 171
8.3.2 主流漏洞測(cè)試方法 172
8.3.3 主流漏洞修復(fù)示例 173
8.4 開源組件漏洞驗(yàn)證 179
8.4.1 開源組件風(fēng)險(xiǎn)類型 179
8.4.2 開源組件風(fēng)險(xiǎn)測(cè)試方法 181
8.4.3 開源組件修復(fù)示例 182
8.5 業(yè)務(wù)邏輯漏洞驗(yàn)證 183
8.5.1 業(yè)務(wù)邏輯漏洞類型 183
8.5.2 業(yè)務(wù)邏輯漏洞測(cè)試方法 184
8.5.3 業(yè)務(wù)邏輯漏洞修復(fù)示例 184
8.6 API安全驗(yàn)證 186
8.6.1 修復(fù)API漏洞涉及的內(nèi)容 187
8.6.2 常見的API漏洞修復(fù)示例 187
8.7 App安全驗(yàn)證 188
8.7.1 App漏洞類型 188
8.7.2 App漏洞測(cè)試方法 189
8.7.3 App漏洞修復(fù)示例 190
8.8 數(shù)據(jù)安全驗(yàn)證 190
8.8.1 數(shù)據(jù)安全漏洞類型 190
8.8.2 數(shù)據(jù)安全測(cè)試方法 191
8.8.3 數(shù)據(jù)安全漏洞風(fēng)險(xiǎn)及修復(fù)示例 192
8.9 上線前安全評(píng)審 192
8.9.1 上線前安全評(píng)審的重要性 193
8.9.2 安全基線驗(yàn)證 193
第9章軟件安全研發(fā)——發(fā)布和部署階段 195
9.1 發(fā)布和部署階段的安全風(fēng)險(xiǎn) 197
9.2 實(shí)用安全實(shí)踐 198
9.2.1 安全發(fā)布管理 198
9.2.2 安全部署策略 204
9.2.3 安全部署測(cè)試 207
9.2.4 持續(xù)監(jiān)控和事件響應(yīng) 209
9.3 基于生命周期的軟件安全發(fā)布流程 210
第10章開發(fā)過(guò)程中的數(shù)據(jù)安全 213
10.1 數(shù)據(jù)安全左移 214
10.1.1 計(jì)劃設(shè)計(jì)階段 215
10.1.2 開發(fā)階段 217
10.1.3 驗(yàn)證階段 224
10.2 軟件供應(yīng)鏈數(shù)據(jù)安全 224
10.2.1 軟件供應(yīng)鏈數(shù)據(jù)概述 225
10.2.2 軟件供應(yīng)鏈數(shù)據(jù)的風(fēng)險(xiǎn)與威脅 229
10.2.3 軟件供應(yīng)鏈數(shù)據(jù)保護(hù)的基本原則和具體措施 235
第11章軟件供應(yīng)鏈環(huán)境安全 245
11.1 開發(fā)環(huán)境安全 246
11.1.1 軟件開發(fā)環(huán)節(jié) 246
11.1.2 開發(fā)環(huán)境風(fēng)險(xiǎn) 247
11.1.3 開發(fā)環(huán)境安全指南 247
11.2 交付環(huán)境安全 250
11.2.1 分發(fā)市場(chǎng)安全 250
11.2.2 軟件部署安全 250
11.3 使用環(huán)境安全 255
11.3.1 一般計(jì)算環(huán)境安全 255
11.3.2 云計(jì)算環(huán)境安全 256
第12章軟件供應(yīng)鏈安全運(yùn)行管理 258
12.1 安全運(yùn)行管理概述 259
12.1.1 安全運(yùn)行時(shí)的軟件供應(yīng)鏈安全風(fēng)險(xiǎn) 259
12.1.2 安全運(yùn)行時(shí)的軟件供應(yīng)鏈安全管理環(huán)節(jié) 259
12.2 風(fēng)險(xiǎn)基線 260
12.2.1 事先設(shè)置風(fēng)險(xiǎn)基線的必要性 260
12.2.2 風(fēng)險(xiǎn)基線的制定 261
12.2.3 風(fēng)險(xiǎn)基線的使用 264
12.3 安全防御 264
12.3.1 運(yùn)行時(shí)應(yīng)用程序自我保護(hù) 265
12.3.2 開源組件安全防御 267
12.3.3 Web應(yīng)用程序防火墻 267
12.3.4 其他工具 269
12.4 監(jiān)控風(fēng)險(xiǎn) 270
12.5 響應(yīng)與處置 273
12.5.1 應(yīng)急響應(yīng)團(tuán)隊(duì) 274
12.5.2 應(yīng)急響應(yīng)過(guò)程 274
12.5.3 溝通渠道 277
第13章軟件供應(yīng)鏈安全制度 279
13.1 制定與修訂 280
13.1.1 安全策略 280
13.1.2 目標(biāo) 280
13.1.3 制定和發(fā)布 280
13.1.4 審查和修訂 281
13.2 參與人員管理 281
13.2.1 安全責(zé)任書 281
13.2.2 權(quán)限分配 281
13.2.3 能力和資格評(píng)估 282
13.2.4 背景核查 282
13.2.5 技能培訓(xùn)和發(fā)展 282
13.2.6 離職管理 282
13.3 供應(yīng)商管理 283
13.3.1 供應(yīng)商的選擇 283
13.3.2 風(fēng)險(xiǎn)評(píng)估 284
13.3.3 合同要求 284
13.3.4 供應(yīng)商監(jiān)控 284
13.4 產(chǎn)品采購(gòu)和使用管理 285
13.4.1 遵守國(guó)家法規(guī) 285
13.4.2 產(chǎn)品選擇和評(píng)估 285
13.4.3 安全責(zé)任劃分 286
13.4.4 關(guān)鍵部件的特殊測(cè)試 286
13.4.5 持續(xù)監(jiān)控和改進(jìn) 286
13.4.6 知識(shí)產(chǎn)權(quán)管理 287
13.5 安全設(shè)計(jì)管理 287
13.5.1 威脅建模 287
13.5.2 安全需求設(shè)計(jì) 287
13.5.3 安全架構(gòu)設(shè)計(jì) 288
13.6 安全開發(fā)管理 288
13.6.1 內(nèi)部軟件開發(fā)管理 288
13.6.2 外包軟件開發(fā)管理 289
13.6.3 外部組件管理 290
13.7 軟件代碼庫(kù)管理 290
13.7.1 統(tǒng)一的軟件產(chǎn)品和源代碼庫(kù) 291
13.7.2 代碼庫(kù)分支 291
13.7.3 安全漏洞檢測(cè) 291
13.7.4 代碼和組件的可用性 291
13.7.5 清潔和安全的軟件代碼 291
13.8 安全檢測(cè)管理 292
13.8.1 安全檢測(cè)方法 292
13.8.2 第三方軟件風(fēng)險(xiǎn)檢測(cè) 292
13.8.3 檢測(cè)規(guī)劃和執(zhí)行 292
13.8.4 檢測(cè)結(jié)果分析和補(bǔ)救 293
13.8.5 檢測(cè)報(bào)告和文檔 293
13.8.6 持續(xù)改進(jìn) 293
13.9 風(fēng)險(xiǎn)與漏洞管理 293
13.9.1 風(fēng)險(xiǎn)管理 293
13.9.2 漏洞管理 294
13.10 檢測(cè)驗(yàn)收管理 295
13.10.1 檢測(cè)驗(yàn)收計(jì)劃 295
13.10.2 檢測(cè)驗(yàn)收的執(zhí)行 296
13.10.3 檢測(cè)驗(yàn)收?qǐng)?bào)告 296
13.10.4 部署前的安全測(cè)試 296
13.10.5 交付清單和設(shè)備驗(yàn)證 296
13.10.6 操作和維護(hù)人員的技能培訓(xùn) 296
13.10.7 文件和記錄的保存 297
13.10.8 軟件廢止 297
13.11 安全事件管理 297
13.11.1 應(yīng)急計(jì)劃管理 297
13.11.2 安全事件處理 298
附錄A 術(shù)語(yǔ) 300
附錄B Java安全編碼規(guī)范 303
附錄C C語(yǔ)言安全編碼規(guī)范 359
附錄D 安全SDK 378
附錄E 相關(guān)技術(shù)介紹 391
參考資料 422