登入帳戶  | 訂單查詢  | 購物車/收銀台(0) | 在線留言板  | 付款方式  | 運費計算  | 聯絡我們  | 幫助中心 |  加入書簽
會員登入 新用戶登記
HOME新書上架暢銷書架好書推介特價區會員書架精選月讀2023年度TOP分類瀏覽雜誌 臺灣用戶
品種:超過100萬種各類書籍/音像和精品,正品正價,放心網購,悭钱省心 服務:香港台灣澳門海外 送貨:速遞郵局服務站

新書上架簡體書 繁體書
暢銷書架簡體書 繁體書
好書推介簡體書 繁體書

十月出版:大陸書 台灣書
九月出版:大陸書 台灣書
八月出版:大陸書 台灣書
七月出版:大陸書 台灣書
六月出版:大陸書 台灣書
五月出版:大陸書 台灣書
四月出版:大陸書 台灣書
三月出版:大陸書 台灣書
二月出版:大陸書 台灣書
一月出版:大陸書 台灣書
12月出版:大陸書 台灣書
11月出版:大陸書 台灣書
十月出版:大陸書 台灣書
九月出版:大陸書 台灣書
八月出版:大陸書 台灣書

『簡體書』软件供应链安全实践指南

書城自編碼: 4026461
分類:簡體書→大陸圖書→計算機/網絡程序設計
作者: 范丙华
國際書號(ISBN): 9787121485732
出版社: 电子工业出版社
出版日期: 2024-08-01

頁數/字數: /
書度/開本: 16开 釘裝: 平装

售價:HK$ 128.8

我要買

share:

** 我創建的書架 **
未登入.


新書推薦:
首辅养成手册(全三册)(张晚意、任敏主演古装剧《锦绣安宁》原著小说)
《 首辅养成手册(全三册)(张晚意、任敏主演古装剧《锦绣安宁》原著小说) 》

售價:HK$ 124.2
清洁
《 清洁 》

售價:HK$ 66.7
组队:超级个体时代的协作方式
《 组队:超级个体时代的协作方式 》

售價:HK$ 79.4
第十三位陪审员
《 第十三位陪审员 》

售價:HK$ 55.2
微观经济学(第三版)【2024诺贝尔经济学奖获奖者作品】
《 微观经济学(第三版)【2024诺贝尔经济学奖获奖者作品】 》

售價:HK$ 159.9
Python贝叶斯深度学习
《 Python贝叶斯深度学习 》

售價:HK$ 91.8
文本的密码:社会语境中的宋代文学
《 文本的密码:社会语境中的宋代文学 》

售價:HK$ 69.0
启微·狂骉年代:西洋赛马在中国
《 启微·狂骉年代:西洋赛马在中国 》

售價:HK$ 80.5

 

內容簡介:
本书通过深入探讨构建和维护软件供应链安全的实施策略和最佳实践,以期提供全面的实践操作指南,帮助读者理解并应对与软件供应链相关的安全威胁。
本作者以“前置伴生、内生可控、高效便捷”为安全理念,从软件供应链管理与人员安全、供应商安全治理、三方软件管理、安全融入开发过程、开发过程的数据安全、软件开发环境安全、运行安全以及软件供应链安全管理制度进行全方位、多维度、深层次、立体化地布控软件供应链安全治理解决方案。以技术、管理和服务三管齐下为基准,建立起两个相互补充的安全闭环。第一,聚焦软件研发内部,形成涵盖需求设计、开发、验证、发布和部署的安全开发全生命周期安全闭环;第二,在宏观层面,从整个软件供应链的角度出发,包括上游供应商的安全治理以及下游用户的运行使用安全,确保全生命周期中每个触点都受到保护。
本书可作为网安从业者对软件供应链安全治理工作的参考和指导。希望在本书的指引下,与业界同人共同推进软件供应链安全体系的构建和发展,为筑牢国家网络安全屏障添砖加瓦、保驾护航。
關於作者:
范丙华,安全玻璃盒【杭州孝道科技】创始人&CEO,高级工程师,从事网络安全行业20年,拥有众多网络安全核心技术发明专利;曾参与多项软件供应链安全相关的地方标准、行业标准和国家标准;被中国信通院、浙江网络空间安全协会等多家单位聘请为入库专家。
目錄
第1章 软件供应链安全概述 001
1.1 背景 002
1.1.1 什么是软件供应链安全 003
1.1.2 软件供应链安全现状 004
1.1.3 软件供应链安全政策法规及标准 007
1.1.4 软件供应链安全市场 016
1.2 软件供应链攻击特点 027
1.2.1 攻击面广、攻击门槛低 027
1.2.2 隐蔽性强、潜意识信任 028
1.2.3 传播性强、伤害性大 028
1.2.4 攻击手段新、攻击复杂化 028
1.3 软件供应链面临的安全挑战 029
1.3.1 供应商可信度难以评估 029
1.3.2 供应链复杂度高 030
1.3.3 软件供应链透明度低 030
1.3.4 风险响应速度慢 031
1.3.5 安全重视程度不足、人员意识薄弱 032
1.3.6 软件供应链安全威胁 033
第2章 软件供应链安全治理框架 034
2.1 软件供应链安全治理整体框架 035
2.2 软件供应链安全治理理念 036
2.3 软件供应链安全组织与制度建设 037
2.4 软件供应链安全研发体系 038
2.5 软件供应链安全技术能力 039
第3章 软件供应链安全管理机构与人员 040
3.1 安全管理机构 041
3.1.1 机构岗位设置 041
3.1.2 授权和批准 042
3.1.3 沟通与合作 043
3.1.4 审计和检查 043
3.1.5 实践示例 044
3.2 安全管理人员 047
3.2.1 人员招聘 048
3.2.2 离岗人员 048
3.2.3 安全意识教育和培训 049
第4章 软件供应商安全治理 050
4.1 基本定义 051
4.1.1 软件供应商在供应链中所处位置 051
4.1.2 软件供应商安全治理意义 052
4.1.3 软件供应商治理环节 053
4.2 明确软件供应商安全治理总体方针 054
4.2.1 梳理业务核心需求 055
4.2.2 以政策法规、领域指标为导向 055
4.3 软件供应商风险评估 056
4.3.1 供应商资质评估 057
4.3.2 供应商安全评估 063
4.3.3 软件产品安全评估 070
4.4 供应商引入安全 079
4.5 安全治理职能确立 080
4.6 供应商风险监控 082
4.7 供应商清退制度 083
4.7.1 明确清退标准 084
4.7.2 制定清退机制 084
第5章 第三方软件管理 087
5.1 第三方软件概述 088
5.1.1 什么是第三方软件 088
5.1.2 第三方软件风险 089
5.1.3 安全管理的必要性 090
5.2 商用采购软件安全管理 091
5.2.1 商用采购软件介绍 091
5.2.2 风险分析 092
5.2.3 安全管理指南 093
5.3 开源软件安全管理 096
5.3.1 开源软件介绍 096
5.3.2 风险分析 096
5.3.3 安全管理指南 098
5.4 外包软件安全管理 100
5.4.1 外包软件介绍 100
5.4.2 风险分析 101
5.4.3 安全管理指南 103
第6章 软件安全研发——需求设计阶段 106
6.1 需求设计阶段的安全必要性 107
6.2 威胁建模 108
6.2.1 威胁建模介绍 108
6.2.2 威胁建模协助安全需求与安全设计 109
6.3 安全需求 110
6.3.1 常用安全需求分析方法 111
6.3.2 安全需求分析方法在实践中的应用 119
6.3.3 借助威胁建模生成安全需求 121
6.3.4 安全需求分析实践案例 124
6.4 安全设计 128
6.4.1 针对安全需求的安全设计 129
6.4.2 安全架构分析 131
6.4.3 设计有效性校验 135
?
第7章 软件安全研发——开发阶段 137
7.1 开发阶段风险分析 138
7.2 安全开发标准与管理体系 139
7.2.1 安全开发标准 139
7.2.2 安全开发管理体系 141
7.3 安全编码 143
7.3.1 常见代码漏洞原理和修复方式 143
7.3.2 软件安全编码规范 145
7.4 引入组件的安全 148
7.4.1 第三方组件风险 148
7.4.2 组件选择 150
7.4.3 引入流程 153
7.4.4 组件修复 156
7.4.5 组件的使用 158
7.5 代码评审与代码审计 159
7.5.1 代码评审 159
7.5.2 代码审计 161
7.6 安全成果验收 162
第8章 软件安全研发——验证阶段 164
8.1 软件安全验证框架 166
8.2 安全需求验证 167
8.3 主流漏洞验证 170
8.3.1 主流漏洞类型 171
8.3.2 主流漏洞测试方法 172
8.3.3 主流漏洞修复示例 173
8.4 开源组件漏洞验证 179
8.4.1 开源组件风险类型 179
8.4.2 开源组件风险测试方法 181
8.4.3 开源组件修复示例 182
8.5 业务逻辑漏洞验证 183
8.5.1 业务逻辑漏洞类型 183
8.5.2 业务逻辑漏洞测试方法 184
8.5.3 业务逻辑漏洞修复示例 184
8.6 API安全验证 186
8.6.1 修复API漏洞涉及的内容 187
8.6.2 常见的API漏洞修复示例 187
8.7 App安全验证 188
8.7.1 App漏洞类型 188
8.7.2 App漏洞测试方法 189
8.7.3 App漏洞修复示例 190
8.8 数据安全验证 190
8.8.1 数据安全漏洞类型 190
8.8.2 数据安全测试方法 191
8.8.3 数据安全漏洞风险及修复示例 192
8.9 上线前安全评审 192
8.9.1 上线前安全评审的重要性 193
8.9.2 安全基线验证 193
第9章 软件安全研发——发布和部署阶段 195
9.1 发布和部署阶段的安全风险 197
9.2 实用安全实践 198
9.2.1 安全发布管理 198
9.2.2 安全部署策略 204
9.2.3 安全部署测试 207
9.2.4 持续监控和事件响应 209
9.3 基于生命周期的软件安全发布流程 210
第10章 开发过程中的数据安全 213
10.1 数据安全左移 214
10.1.1 计划设计阶段 215
10.1.2 开发阶段 217
10.1.3 验证阶段 224
10.2 软件供应链数据安全 224
10.2.1 软件供应链数据概述 225
10.2.2 软件供应链数据的风险与威胁 229
10.2.3 软件供应链数据保护的基本原则和具体措施 235
第11章 软件供应链环境安全 245
11.1 开发环境安全 246
11.1.1 软件开发环节 246
11.1.2 开发环境风险 247
11.1.3 开发环境安全指南 247
11.2 交付环境安全 250
11.2.1 分发市场安全 250
11.2.2 软件部署安全 250
11.3 使用环境安全 255
11.3.1 一般计算环境安全 255
11.3.2 云计算环境安全 256
第12章 软件供应链安全运行管理 258
12.1 安全运行管理概述 259
12.1.1 安全运行时的软件供应链安全风险 259
12.1.2 安全运行时的软件供应链安全管理环节 259
12.2 风险基线 260
12.2.1 事先设置风险基线的必要性 260
12.2.2 风险基线的制定 261
12.2.3 风险基线的使用 264
12.3 安全防御 264
12.3.1 运行时应用程序自我保护 265
12.3.2 开源组件安全防御 267
12.3.3 Web应用程序防火墙 267
12.3.4 其他工具 269
12.4 监控风险 270
12.5 响应与处置 273
12.5.1 应急响应团队 274
12.5.2 应急响应过程 274
12.5.3 沟通渠道 277
第13章 软件供应链安全制度 279
13.1 制定与修订 280
13.1.1 安全策略 280
13.1.2 目标 280
13.1.3 制定和发布 280
13.1.4 审查和修订 281
13.2 参与人员管理 281
13.2.1 安全责任书 281
13.2.2 权限分配 281
13.2.3 能力和资格评估 282
13.2.4 背景核查 282
13.2.5 技能培训和发展 282
13.2.6 离职管理 282
13.3 供应商管理 283
13.3.1 供应商的选择 283
13.3.2 风险评估 284
13.3.3 合同要求 284
13.3.4 供应商监控 284
13.4 产品采购和使用管理 285
13.4.1 遵守国家法规 285
13.4.2 产品选择和评估 285
13.4.3 安全责任划分 286
13.4.4 关键部件的特殊测试 286
13.4.5 持续监控和改进 286
13.4.6 知识产权管理 287
13.5 安全设计管理 287
13.5.1 威胁建模 287
13.5.2 安全需求设计 287
13.5.3 安全架构设计 288
13.6 安全开发管理 288
13.6.1 内部软件开发管理 288
13.6.2 外包软件开发管理 289
13.6.3 外部组件管理 290
13.7 软件代码库管理 290
13.7.1 统一的软件产品和源代码库 291
13.7.2 代码库分支 291
13.7.3 安全漏洞检测 291
13.7.4 代码和组件的可用性 291
13.7.5 清洁和安全的软件代码 291
13.8 安全检测管理 292
13.8.1 安全检测方法 292
13.8.2 第三方软件风险检测 292
13.8.3 检测规划和执行 292
13.8.4 检测结果分析和补救 293
13.8.5 检测报告和文档 293
13.8.6 持续改进 293
13.9 风险与漏洞管理 293
13.9.1 风险管理 293
13.9.2 漏洞管理 294
13.10 检测验收管理 295
13.10.1 检测验收计划 295
13.10.2 检测验收的执行 296
13.10.3 检测验收报告 296
13.10.4 部署前的安全测试 296
13.10.5 交付清单和设备验证 296
13.10.6 操作和维护人员的技能培训 296
13.10.7 文件和记录的保存 297
13.10.8 软件废止 297
13.11 安全事件管理 297
13.11.1 应急计划管理 297
13.11.2 安全事件处理 298
附录A 术语 300
附录B Java安全编码规范 303
附录C C语言安全编码规范 359
附录D 安全SDK 378
附录E 相关技术介绍 391
参考资料 422
內容試閱
推荐序一

科学革命为人类带来了对自然界的深入理解和对知识体系的根本重构,工业革命通过机械化方式极大地提高了生产效率,这两场革命共同奠定了现代社会的基础。计算机革命则成为这一进程的延续和发展,它们在信息时代为人类社会带来了前所未有的变革,也奠定了数字化时代的基础。
在如今的数字化浪潮下,建设数字中国是数字时代推进中国式现代化的重要引擎。《数字中国建设整体布局规划》中指出,要强化数字中国关键能力,筑牢可信可控的数字安全屏障。基于此,我们需要着重于建立一个全面、稳健的安全可信计算环境,确保软件供应链安全就是其关键组成部分之一。本书是一部致力于在这一关键领域提供深度见解和实际指导的文献,它旨在帮助企业和用户理解并应对软件供应链中的各种安全风险。
本书深入分析了软件供应链安全的现状,基于组织和制度建设,系统地介绍了安全研发体系的构建,相关安全技术能力的提升,以及第三方软件管理、环境和数据安全管理等策略,在各章节细致地探讨了如何在软件的需求设计、开发、验证、发布和部署及运营各阶段中实施和维护可信计算的原则。本书的一个重点在于强调安全不应仅作为事后的补救措施,而应并行融合在软件供应链的每个环节。为此,本指南还提供了一系列实用的工具和资源,包括安全编码规范、安全开发工具包等。
老子曾说:“有道无术,术尚可求,有术无道,止于术”。本书不仅为软件供应链安全治理提供了技术实践指导,还从现状分析、安全理念、关键技术等层面深度探讨了如何构建一个强大的治理框架。期望本书能够为业界同人提供一份全面且实用的资源,帮助读者在这个充满挑战的领域中更好地思考和决策,从而创造一个更安全、更可信的软件环境。


当前,世界百年未有之大变局加速演进,新一轮科技革命和产业变革深入发展。希望能够在本书的助力下,与业界同人共同推进软件供应链安全体系的构建和发展,为实现安全可信的数字安全屏障这一目标添砖加瓦,共同夯实网络空间命运共同体的安全基石。
沈昌祥
中国工程院院士




推荐序二

在数字化高速发展的时代,科学技术升级换代,数字技术正在推动供给侧结构性改革和经济发展的质量变革、效率变革、动力变革,数字技术正在以“透析”的方式改变全世界的经济血脉。网络安全作为数字化发展的底座,作为核心中的核心,当前面临着地缘政治、传统安全与网络空间安全的交织威胁。网络安全问题将给数字化发展带来前所未有的挑战。系统软件、支撑软件、应用软件、工业软件及安全软件等高速发展,软件供应链安全事件频发(如SolarWinds和Log4j2),对用户隐私、财产安全及国家安全造成了严重威胁,直接关系国家关键基础设施和重要信息系统安全。
本书无私地分享了软件供应链安全实践经验,我深表感动,充分体现了作者对技术创新的执着和软件供应链安全的技术情怀。作者以“前置伴生、内生可控、高效便捷”为安全理念,从软件供应链管理与人员安全、供应商安全治理、三方软件管理、安全融入开发过程、开发过程的数据安全、软件开发环境安全、运行安全及软件供应链安全管理制度等方面全方位、多维度、深层次、立体化地布控软件供应链安全治理解决方案。技术、管理和服务三管齐下,全面让安全与数字建设相同步、相适应,让安全建设重心从原来的运行时防护转向安全前置,将安全赋能到开发、测试及运营的各个阶段,从源头根本性地解决安全风险,避免应用带“病”运行,让应用自身具备抵抗力和免疫力,从而构建自主可控、安全可信的软件供应链安全体系,从供给侧为“数字中国”保驾护航。
本书由安全玻璃盒“孝道科技”团队范丙华编写,总结了其多年来在软件供应链安全领域的一线实践经验,具有系统性、实用性、前瞻性和适应性等特点,特别对于提升金融行业的软件供应链安全能力,提供了恰逢其时的安全理念和实践的传承,具有很高的参考价值和借鉴意义。
陈天晴
中国人民银行科技司原副司长

推荐序三

根据《数字2023全球概览报告》,当今世界有约51.6亿名互联网用户,这意味着对互联网的控制权是一种极高的权力。事实上,几乎所有人都在追求通过互联网影响全世界,如黑客通过病毒,谷歌通过搜索引擎,微软通过操作系统,苹果公司通过手机,美国政府则通过“No Such Agency”,甚至网红也在通过社交媒体或短视频积极扩大影响力。
其中,如何保障软件供应链安全进而保障自身软件安全是最基础、最重要的问题。早在1983年,Unix操作系统发明人肯尼斯·蓝·汤普森(Kenneth Lane Thompson)发表图灵奖获奖感言时,就介绍了如何通过C编译器在软件中设置后门,并断言:只要使用了不安全的代码,不管做多少检查都不能保证安全。
软件早已进入工业化时代,软件供应链安全的重要性和复杂性都远超汤普森老先生获奖之时,但软件供应链安全难题始终缺少“标准答案”。本书从管理和技术两个方面,尝试对开发、测试、运行等软件生命周期各个环节给出完善且系统的解答,既有坐而论道,又有起而行之,可谓道、法、术、器自成一体,为构建完整的企业级软件供应链安全体系提供了难得的参考与指南。
《史记·秦始皇本纪》记载:“一法度衡石丈尺,车同轨,书同文字。”软件是互联网时代人类的共同语言,相信本书必定能够帮助大家提升软件供应链安全,解决软件安全应用难题,强化软件安全共享共用。

张耀欣 博士

 

 

書城介紹  | 合作申請 | 索要書目  | 新手入門 | 聯絡方式  | 幫助中心 | 找書說明  | 送貨方式 | 付款方式 香港用户  | 台灣用户 | 大陸用户 | 海外用户
megBook.com.hk
Copyright © 2013 - 2024 (香港)大書城有限公司  All Rights Reserved.