当前国际形势严峻复杂,网络安全深受贸易摩擦、技术封锁、技术断供、网络战等因素影响;数字技术高速发展,造成软件供应链安全事件频发,包括漏洞风险导致的数据泄漏、知识产权风险、断供风险及投毒风险等,给用户隐私安全、财产安全甚至国家安全带来了严重威胁。数字应用已全面实现,在网络无边界化和数据智能化的大背景下,安全已不仅是简单的护卫队角色,它不再孤立存在,而应成为软硬件产品本身的一种能力,安全也不仅是使用者和运营者的责任,更是设计者、制造者和生产者的责任。当前严峻的网络安全形势正在倒逼企业逐步转变安全理念,以“不是需要更多的安全软件,而是需要更安全的软件”为安全发展理念,从运行时防护转向构建自主可控、安全可信的内生性软件供应链安全体系。从“打补丁修复的方式”逐步转向“提升自身抵抗力、抗攻击能力和提升免疫能力”。
本书笔者深入探讨了构建和维护软件安全供应链的策略和最佳实践,笔者撰写初衷是提供一个全面的实践操作指南,帮助组织理解并应对与软件供应链相关的安全威胁。
本书的核心框架不在于关注具体的安全技术和工具,而是从理念、原则到系统性实施的全方位内容,更深入地构建两个相互补充的安全闭环,确保软件供应链在各个环节的安全性。
第一个安全闭环聚焦软件研发内部,形成涵盖需求设计、开发、验证、发布和部署的安全开发全生命周期安全闭环。这个闭环内的每个阶段都有其独特的场景、安全需求和对应措施。不同阶段整合形成了一个细致且可管理的安全流程。
第二个安全闭环则是宏观层面上的,从整个软件供应链的角度出发,包括上游供应商的安全治理及下游用户的运行使用安全。这个维度扩展了安全的边界,不局限于软件本身,而是涵盖了整个供应链,包括第三方组件和服务,确保全生命周期中每个触点都得到保护。
同时,在这两个闭环中穿插软件供应链安全组织架构的建设、相关安全制度的确立,以实现对整个软件供应链安全的全方位覆盖。这种双重闭环策略确保从源头到终端用户,每个环节都不会被忽视,为构建一个更加安全的软件供应链生态系统提供了坚实基础。
笔者希望本书不仅能够为正在努力保护其软件资产的专业人士提供价值,也希望能够启发那些对此领域感兴趣的读者。无论你是信息安全的专家,还是在这个领域里初出茅庐的新手,相信本书都会是你宝贵的资源。在你手持这本书,开始或继续你的软件供应链安全之旅时,它会成为你的可靠伙伴。
编者
2024年6月