根据《数字2023全球概览报告》,当今世界有约51.6亿名互联网用户,这意味着对互联网的控制权是一种极高的权力。事实上,几乎所有人都在追求通过互联网影响全世界,如黑客通过病毒,谷歌通过搜索引擎,微软通过操作系统,苹果公司通过手机,美国政府则通过“No Such Agency”,甚至网红也在通过社交媒体或短视频积极扩大影响力。
其中,如何保障软件供应链安全进而保障自身软件安全是最基础、最重要的问题。早在1983年,Unix操作系统发明人肯尼斯·蓝·汤普森(Kenneth Lane Thompson)发表图灵奖获奖感言时,就介绍了如何通过C编译器在软件中设置后门,并断言:只要使用了不安全的代码,不管做多少检查都不能保证安全。
软件早已进入工业化时代,软件供应链安全的重要性和复杂性都远超汤普森老先生获奖之时,但软件供应链安全难题始终缺少“标准答案”。本书从管理和技术两个方面,尝试对开发、测试、运行等软件生命周期各个环节给出完善且系统的解答,既有坐而论道,又有起而行之,可谓道、法、术、器自成一体,为构建完整的企业级软件供应链安全体系提供了难得的参考与指南。
《史记·秦始皇本纪》记载:“一法度衡石丈尺,车同轨,书同文字。”软件是互联网时代人类的共同语言,相信本书必定能够帮助大家提升软件供应链安全,解决软件安全应用难题,强化软件安全共享共用。
张耀欣 博士