作者:范丙华 编
页数:448
出版社:电子工业出版社
出版日期:2024
ISBN:9787121485732
电子书格式:pdf/epub/txt
内容简介
本书通过深入探讨构建和维护软件供应链安全的最佳策略和实践,以期提供全面的实践操作指南,帮助组织理解并应对与软件供应链相关的安全威胁。
本书以理念、原则、系统性实施等全方位内容为核心框架,建立起两个相互补充的安全闭环。第一,聚焦软件研发内部,形成涵盖需求设计、开发、验证、发布和部署的安全开发全生命周期安全闭环;第二,在宏观层面,从整个软件供应链的角度出发,包括第三方组件和服务等,确保全生命周期中每个触点都受到保护。
本书可作为高等院校网络空间安全专业或其他专业学生的参考教材,同时可作为对软件供应链安全感兴趣的读者的参考书。
作者简介
范丙华,安全玻璃盒【杭州孝道科技】创始人&CEO,高级工程师,从事网络安全行业20年,拥有众多网络安全核心技术发明专利;曾参与多项软件供应链安全相关的地方标准、行业标准和国家标准;被中国信通院、浙江网络空间安全协会等多家单位聘请为入库专家。
目录
目 录
第1章 软件供应链安全概述 001
1.1 背景 002
1.1.1 什么是软件供应链安全 003
1.1.2 软件供应链安全现状 004
1.1.3 软件供应链安全政策法规及标准 007
1.1.4 软件供应链安全市场 016
1.2 软件供应链攻击特点 027
1.2.1 攻击面广、攻击门槛低 027
1.2.2 隐蔽性强、潜意识信任 028
1.2.3 传播性强、伤害性大 028
1.2.4 攻击手段新、攻击复杂化 028
1.3 软件供应链面临的安全挑战 029
1.3.1 供应商可信度难以评估 029
1.3.2 供应链复杂度高 030
1.3.3 软件供应链透明度低 030
1.3.4 风险响应速度慢 031
1.3.5 安全重视程度不足、人员意识薄弱 032
1.3.6 软件供应链安全威胁 033
第2章 软件供应链安全治理框架 034
2.1 软件供应链安全治理整体框架 035
2.2 软件供应链安全治理理念 036
2.3 软件供应链安全组织与制度建设 037
2.4 软件供应链安全研发体系 038
2.5 软件供应链安全技术能力 039
第3章 软件供应链安全管理机构与人员 040
3.1 安全管理机构 041
3.1.1 机构岗位设置 041
3.1.2 授权和批准 042
3.1.3 沟通与合作 043
3.1.4 审计和检查 043
3.1.5 实践示例 044
3.2 安全管理人员 047
3.2.1 人员招聘 048
3.2.2 离岗人员 048
3.2.3 安全意识教育和培训 049
第4章 软件供应商安全治理 050
4.1 基本定义 051
4.1.1 软件供应商在供应链中所处位置 051
4.1.2 软件供应商安全治理意义 052
4.1.3 软件供应商治理环节 053
4.2 明确软件供应商安全治理总体方针 054
4.2.1 梳理业务核心需求 055
4.2.2 以政策法规、领域指标为导向 055
4.3 软件供应商风险评估 056
4.3.1 供应商资质评估 057
4.3.2 供应商安全评估 063
4.3.3 软件产品安全评
第1章 软件供应链安全概述 001
1.1 背景 002
1.1.1 什么是软件供应链安全 003
1.1.2 软件供应链安全现状 004
1.1.3 软件供应链安全政策法规及标准 007
1.1.4 软件供应链安全市场 016
1.2 软件供应链攻击特点 027
1.2.1 攻击面广、攻击门槛低 027
1.2.2 隐蔽性强、潜意识信任 028
1.2.3 传播性强、伤害性大 028
1.2.4 攻击手段新、攻击复杂化 028
1.3 软件供应链面临的安全挑战 029
1.3.1 供应商可信度难以评估 029
1.3.2 供应链复杂度高 030
1.3.3 软件供应链透明度低 030
1.3.4 风险响应速度慢 031
1.3.5 安全重视程度不足、人员意识薄弱 032
1.3.6 软件供应链安全威胁 033
第2章 软件供应链安全治理框架 034
2.1 软件供应链安全治理整体框架 035
2.2 软件供应链安全治理理念 036
2.3 软件供应链安全组织与制度建设 037
2.4 软件供应链安全研发体系 038
2.5 软件供应链安全技术能力 039
第3章 软件供应链安全管理机构与人员 040
3.1 安全管理机构 041
3.1.1 机构岗位设置 041
3.1.2 授权和批准 042
3.1.3 沟通与合作 043
3.1.4 审计和检查 043
3.1.5 实践示例 044
3.2 安全管理人员 047
3.2.1 人员招聘 048
3.2.2 离岗人员 048
3.2.3 安全意识教育和培训 049
第4章 软件供应商安全治理 050
4.1 基本定义 051
4.1.1 软件供应商在供应链中所处位置 051
4.1.2 软件供应商安全治理意义 052
4.1.3 软件供应商治理环节 053
4.2 明确软件供应商安全治理总体方针 054
4.2.1 梳理业务核心需求 055
4.2.2 以政策法规、领域指标为导向 055
4.3 软件供应商风险评估 056
4.3.1 供应商资质评估 057
4.3.2 供应商安全评估 063
4.3.3 软件产品安全评
