软件供应链安全实践指南

图书标准信息

• 作者 范丙华
• 出版社 电子工业出版社
• 出版时间 2024-08
• 版次 1
• ISBN 9787121485732
• 定价 112.00元
• 装帧 平装
• 开本 其他
• 页数 448页

【内容简介】

软件供应链是指在软件开发、测试、发布和维护的全生命周期中，涉及到软 件产品和服务的所有组成部分和相关方，包括软件开发人员、供应商、第三方组 件提供商、托管服务提供商、运维人员、安全审计机构等。软件在开发和运行过 程中, 涉及到的所有开源软件的上游社区、源码包、二进制包、第三方组件分发 市场、应用软件分发市场, 以及开发者和维护者、社区、基金会等, 按照依赖、 组合等形成的供应关系网络，这些组成部分和相关方在整个过程中相互协作，以 保证软件产品和服务的质量和安全性，同时保持生产效率和降低成本。随着软件 在现代社会中的作用越来越重要，软件的供应链也变得越来越复杂和庞大，其中 可能包含许多不同的组件、库和第三方工具。

【目录】

目  录
第1章  软件供应链安全概述001
1.1  背景002
1.1.1  什么是软件供应链安全003
1.1.2  软件供应链安全现状004
1.1.3  软件供应链安全政策法规及标准007
1.1.4  软件供应链安全市场016
1.2  软件供应链攻击特点027
1.2.1  攻击面广、攻击门槛低027
1.2.2  隐蔽性强、潜意识信任028
1.2.3  传播性强、伤害性大028
1.2.4  攻击手段新、攻击复杂化028
1.3  软件供应链面临的安全挑战029
1.3.1  供应商可信度难以评估029
1.3.2  供应链复杂度高030
1.3.3  软件供应链透明度低030
1.3.4  风险响应速度慢031
1.3.5  安全重视程度不足、人员意识薄弱032
1.3.6  软件供应链安全威胁033
第2章  软件供应链安全治理框架034
2.1  软件供应链安全治理整体框架035
2.2  软件供应链安全治理理念036
2.3  软件供应链安全组织与制度建设037
2.4  软件供应链安全研发体系038
2.5  软件供应链安全技术能力039
第3章  软件供应链安全管理机构与人员040
3.1  安全管理机构041
3.1.1  机构岗位设置041
3.1.2  授权和批准042
3.1.3  沟通与合作043
3.1.4  审计和检查043
3.1.5  实践示例044
3.2  安全管理人员047
3.2.1  人员招聘048
3.2.2  离岗人员048
3.2.3  安全意识教育和培训049
第4章  软件供应商安全治理050
4.1  基本定义051
4.1.1  软件供应商在供应链中所处位置051
4.1.2  软件供应商安全治理意义052
4.1.3  软件供应商治理环节053
4.2  明确软件供应商安全治理总体方针054
4.2.1  梳理业务核心需求055
4.2.2  以政策法规、领域指标为导向055
4.3  软件供应商风险评估056
4.3.1  供应商资质评估057
4.3.2  供应商安全评估063
4.3.3  软件产品安全评估070
4.4  供应商引入安全078
4.5  安全治理职能确立079
4.6  供应商风险监控081
4.7  供应商清退制度082
4.7.1  明确清退标准083
4.7.2  制定清退机制083
第5章  第三方软件管理086
5.1  第三方软件概述087
5.1.1  什么是第三方软件087
5.1.2  第三方软件风险088
5.1.3  安全管理的必要性089
5.2  商用采购软件安全管理090
5.2.1  商用采购软件介绍090
5.2.2  风险分析091
5.2.3  安全管理指南092
5.3  开源软件安全管理095
5.3.1  开源软件介绍095
5.3.2  风险分析095
5.3.3  安全管理指南097
5.4  外包软件安全管理099
5.4.1  外包软件介绍099
5.4.2  风险分析100
5.4.3  安全管理指南102
第6章  软件安全研发――需求设计阶段105
6.1  需求设计阶段的安全必要性106
6.2  威胁建模107
6.2.1  威胁建模介绍107
6.2.2  威胁建模协助安全需求与安全设计108
6.3  安全需求109
6.3.1  常用安全需求分析方法110
6.3.2  安全需求分析方法在实践中的应用118
6.3.3  借助威胁建模生成安全需求120
6.3.4  安全需求分析实践案例123
6.4  安全设计127
6.4.1  针对安全需求的安全设计128
6.4.2  安全架构分析130
6.4.3  设计有效性校验134
第7章  软件安全研发――开发阶段136
7.1  开发阶段风险分析137
7.2  安全开发标准与管理体系138
7.2.1  安全开发标准138
7.2.2  安全开发管理体系140
7.3  安全编码142
7.3.1  常见代码漏洞原理和修复方式142
7.3.2  软件安全编码规范144
7.4  引入组件的安全147
7.4.1  第三方组件风险147
7.4.2  组件选择149
7.4.3  引入流程152
7.4.4  组件修复155
7.4.5  组件的使用157
7.5  代码评审与代码审计158
7.5.1  代码评审158
7.5.2  代码审计160
7.6  安全成果验收161
第8章  软件安全研发――验证阶段163
8.1  软件安全验证框架165
8.2  安全需求验证166
8.3  主流漏洞验证169
8.3.1  主流漏洞类型170
8.3.2  主流漏洞测试方法171
8.3.3  主流漏洞修复示例172
8.4  开源组件漏洞验证178
8.4.1  开源组件风险类型178
8.4.2  开源组件风险测试方法180
8.4.3  开源组件修复示例181
8.5  业务逻辑漏洞验证182
8.5.1  业务逻辑漏洞类型182
8.5.2  业务逻辑漏洞测试方法183
8.5.3  业务逻辑漏洞修复示例183
8.6  API安全验证185
8.6.1  修复API漏洞涉及的内容186
8.6.2  常见的API漏洞修复示例186
8.7  App安全验证187
8.7.1  App漏洞类型187
8.7.2  App漏洞测试方法188
8.7.3  App漏洞修复示例189
8.8  数据安全验证189
8.8.1  数据安全漏洞类型189
8.8.2  数据安全测试方法190
8.8.3  数据安全漏洞风险及修复示例191
8.9  上线前安全评审191
8.9.1  上线前安全评审的重要性192
8.9.2  安全基线验证192
第9章  软件安全研发――发布和部署阶段194
9.1  发布和部署阶段的安全风险196
9.2  实用安全实践197
9.2.1  安全发布管理197
9.2.2  安全部署策略203
9.2.3  安全部署测试206
9.2.4  持续监控和事件响应208
9.3  基于生命周期的软件安全发布流程209
第10章  开发过程中的数据安全212
10.1  数据安全左移213
10.1.1  计划设计阶段214
10.1.2  开发阶段216
10.1.3  验证阶段223
10.2  软件供应链数据安全223
10.2.1  软件供应链数据概述224
10.2.2  软件供应链数据的风险与威胁228
10.2.3  软件供应链数据保护的基本原则和具体措施234
第11章  软件供应链环境安全244
11.1  开发环境安全245
11.1.1  软件开发环节245
11.1.2  开发环境风险246
11.1.3  开发环境安全指南246
11.2  交付环境安全249
11.2.1  分发市场安全249
11.2.2  软件部署安全249
11.3  使用环境安全254
11.3.1  一般计算环境安全254
11.3.2  云计算环境安全255
第12章  软件供应链安全运行管理257
12.1  安全运行管理概述258
12.1.1  安全运行时的软件供应链安全风险258
12.1.2  安全运行时的软件供应链安全管理环节258
12.2  风险基线259
12.2.1  事先设置风险基线的必要性259
12.2.2  风险基线的制定260
12.2.3  风险基线的使用263
12.3  安全防御263
12.3.1  运行时应用程序自我保护264
12.3.2  开源组件安全防御266
12.3.3  Web应用程序防火墙266
12.3.4  其他工具268
12.4  监控风险269
12.5  响应与处置272
12.5.1  应急响应团队273
12.5.2  应急响应过程273
12.5.3  沟通渠道276
第13章  软件供应链安全制度278
13.1  制定与修订279
13.1.1  安全策略279
13.1.2  目标279
13.1.3  制定和发布279
13.1.4  审查和修订280
13.2  参与人员管理280
13.2.1  安全责任书280
13.2.2  权限分配280
13.2.3  能力和资格评估281
13.2.4  背景核查281
13.2.5  技能培训和发展281
13.2.6  离职管理281
13.3  供应商管理282
13.3.1  供应商的选择282
13.3.2  风险评估283
13.3.3  合同要求283
13.3.4  供应商监控283
13.4  产品采购和使用管理284
13.4.1  遵守国家法规284
13.4.2  产品选择和评估284
13.4.3  安全责任划分285
13.4.4  关键部件的特殊测试285
13.4.5  持续监控和改进285
13.4.6  知识产权管理286
13.5  安全设计管理286
13.5.1  威胁建模286
13.5.2  安全需求设计286
13.5.3  安全架构设计287
13.6  安全开发管理287
13.6.1  内部软件开发管理287
13.6.2  外包软件开发管理288
13.6.3  外部组件管理289
13.7  软件代码库管理289
13.7.1  统一的软件产品和源代码库290
13.7.2  代码库分支290
13.7.3  安全漏洞检测290
13.7.4  代码和组件的可用性290
13.7.5  清洁和安全的软件代码290
13.8  安全检测管理291
13.8.1  安全检测方法291
13.8.2  第三方软件风险检测291
13.8.3  检测规划和执行291
13.8.4  检测结果分析和补救292
13.8.5  检测报告和文档292
13.8.6  持续改进292
13.9  风险与漏洞管理292
13.9.1  风险管理292
13.9.2  漏洞管理293
13.10  检测验收管理294
13.10.1  检测验收计划294
13.10.2  检测验收的执行295
13.10.3  检测验收报告295
13.10.4  部署前的安全测试295
13.10.5  交付清单和设备验证295
13.10.6  操作和维护人员的技能培训295
13.10.7  文件和记录的保存296
13.10.8  软件废止296
13.11  安全事件管理296
13.11.1  应急计划管理296
13.11.2  安全事件处理297