کتاب Software Supply Chain Security: Securing the End-to-end Supply Chain for Software, Firmware, and Hardware (امنیت زنجیره تامین نرم افزار: ایمن سازی زنجیره تامین انتها به انتها برای نرم افزار، سفت افزار و سخت افزار) نگاهی جامع به خطرات امنیتی به شما میدهد و کنترلهای عملی را که باید در زنجیره تأمین نرمافزار انتها به انتها خود بگنجانید، شناسایی میکند.
نویسنده Cassie Crossley نشان میدهد که اگر سازمان شما میخواهد وضعیت امنیتی نرمافزار، سیستمافزار و سختافزار خود را بهبود بخشد، چگونه و چرا همه افراد درگیر در زنجیره تأمین باید مشارکت کنند.
در ادامه مقدمهای از کتاب Software Supply Chain Security را از زبان نویسنده شرح خواهیم داد.
مقدمهای بر کتاب Software Supply Chain Security:
نرم افزار همه جا هست تریلیونها خط کد منبع در هر بخش از زندگی ما اجرا میشود. یک آسیبپذیری نرمافزاری یا حمله باجافزاری میتواند کل شرکتها را از انجام تجارت باز دارد و باعث از دست دادن میلیاردها دلار درآمد و بازیابی کسبوکار میشود.
اکنون، بیش از هر زمان دیگری، باید اطمینان حاصل کنیم که نرم افزار، سیستم عامل و سخت افزار ما ایمن هستند تا دنیای خود را به صورت ایمن و ایمن حفظ کنیم.
بدافزارها، آسیبپذیریهای امنیتی، امنیت برنامهها و امنیت محصولات برای صنعت نرمافزار جدید نیستند، اما اکنون این موضوعات به دلیل تأثیراتی که بر همه میگذارند به اخبار اصلی رسیدهاند. نقش من در این امر زمانی بسیار واقعی شد که در هفته حمله به خط لوله استعماری در ساحل شرقی ایالات متحده به دیدار خانواده ام رفتم.
من دو ساعت در صف تنها پمپ بنزین در فاصله 20 مایلی که دارای بنزین بود، سپری کردم و سپس بقیه را در صف گذراندم. در آن بعد از ظهر به خانواده ام درباره تداوم کسب و کار و حملات زنجیره تامین توضیح دادم.
زنجیره تامین برای زندگی ما حیاتی است. به گفته Investopedia، «زنجیره تأمین شبکهای از افراد و شرکتهایی است که در ایجاد یک محصول و ارائه آن به مصرفکننده نقش دارند».
نرم افزار معمولا توسط افراد متعددی که اغلب بخشی از چندین سازمان یا شرکت هستند، توسعه مییابد. با گذشت زمان، هزاران توسعهدهنده ممکن است در داخل یک برنامه کد داشته باشند. به عنوان مثال، من کدی را برای paint.exe ZSoft نوشتم که در دهه 1980 به مایکروسافت فروخته شد.
من مطمئن هستم که خطوطی از کد من هنوز در MS Paint در پلت فرم ویندوز مایکروسافت وجود دارد. تقریباً 40 سال بعد، تعداد بیشماری از توسعهدهندگان نیز استعدادهای خود را در این اپلیکیشن کوچک اما مفید سهیم کردهاند.
اطمینان از امنیت نرمافزار در زنجیره تامین، معمولاً به دلیل طول عمر کدی است که قبل از توسعه ایمن و شیوههای طراحی ایمن نوشته شده بود، دشوار است.
در ترکیب با عوامل تهدید روزافزون که دائماً در حال کشف راههای جدید برای بهرهبرداری از کد و سیستم هستند، تضمین امنیت یک محصول یا برنامه همیشه دشوار خواهد بود، اما این نباید مانع از انجام تمام تلاش خود برای ایمن سازی زنجیره تأمین نرمافزار شود.
علیرغم ماهیت پیچیده زنجیره تامین نرم افزار، وظیفه ما به عنوان تولیدکنندگان نرم افزار ایجاد زنجیره تامین امن و ارائه اطلاعات به مصرفکنندگان است. به عنوان مصرف کننده، ما باید از این اطلاعات برای رسیدگی به خطراتی که زنجیره تامین ممکن است برای سازمانهای خودمان ایجاد کند استفاده کنیم.
تلاش برای بهبود زنجیره تامین نرم افزار یک شرکت کم نیست. و این فقط یک مشکل فرآیند توسعه نرمافزار نیست: امنیت زنجیره تامین نرمافزار نیازمند مشارکت همه طرفهای زنجیره تامین برای بهبود وضعیت امنیتی نرمافزار، سیستم عامل و سختافزار است.
در کتاب Software Supply Chain Security، من به شما نشان میدهم که چگونه یک برنامه امنیتی زنجیره تامین نرمافزار را در سازمانی با هر اندازهای پیادهسازی کنید، مخصوصاً برای شرکتهای کوچکی که کارشناسان امنیتی برنامههای کاربردی یا زنجیره تامین اختصاصی ندارند. من توضیح خواهم داد که چرا هر کنترل امنیتی وجود دارد، بدون اینکه کسی به مدرک علوم کامپیوتر یا امنیت سایبری برای درک خطرات امنیتی و دلایل کنترلها نیاز داشته باشد.
کتاب Software Supply Chain Security قرار نیست مجموعهای جامع از کنترلها باشد. میتوانید کنترلهایی را که قابل اجرا نیستند حذف کنید و کنترلهایی را که نیاز دارید به چارچوب کنترلهایی که از قبل در اختیار دارید اضافه کنید.
من صدها مرجع را برای کسانی که نیاز به پیروی از چارچوبها، استانداردها، قوانین یا مقررات الزامی دارند گنجاندهام. با این حال، من باید به شما هشدار دهم که خود را به آن چارچوبها محدود نکنید. همیشه باید کنترلهای خود را گسترش داده و تطبیق دهید تا با شکافها و خطرات موجود در سازمان خود مقابله کنید.
چه کسی باید کتاب Software Supply Chain Security را بخواند؟
این کتاب برای هر کسی است که وظیفه امنیت اشخاص ثالث، زنجیره تامین، خرید محصولات و برنامههای کاربردی برای سازمان خود، نرمافزار منبع باز یا نرمافزارهای توسعهیافته در سازمانشان را بر عهده دارد. ممکن است در عنوان خود “امنیت” داشته باشید یا نداشته باشید.
هر کسی که انتخاب، تولید و بهرهبرداری نرمافزار به او سپرده شده است، میتواند از کتاب Software Supply Chain Security برای درک خطرات موجود در زنجیره تامین نرمافزار و اجرای کنترلها و چارچوبها استفاده کند. این کتاب به پیشزمینه امنیت سایبری نیاز ندارد، اگرچه برخی از زمینهها در توضیح فنی هستند، با ارجاعات زیادی برای تشویق یادگیری بیشتر.
من این مرجع عملی را ایجاد کرده ام تا برای رهبران کسب و کار و فناوری، و همچنین کسانی که در سازمانهای قانونی، تدارکات، بیمه و زنجیره تامین هستند، قابل درک باشد.
کتاب Software Supply Chain Security، همچنین برای رهبران برنامههای امنیتی است، چه در نقش CISO (مسئول امنیت اطلاعات)، CPSO (مسئول امنیت محصول)، CSO (مسئول ارشد امنیت)، GRC (حاکمیت، ریسک و انطباق)، امنیت برنامه، یا امنیت محصول.
چرا کتاب Software Supply Chain Security را نوشتم؟
داستان توسعه نرم افزار من با بازدید از کار پدرم در کارخانه تولید IBM در روچستر، مینه سوتا، در اواسط دهه 1970 آغاز شد. پدرم یک برنامه نویس بود، و اگرچه من واقعاً نمیدانستم چه کاری انجام میدهد، اما میدانستم که این کار با ساخت ماشینهایی که چیزهای جالب و پیچیدهای تولید میکنند مرتبط است.
سالها بعد، هنوز هم توسعه نرم افزار را جالب، پیچیده و پر از نکات ظریف میدانم. به عنوان فردی که به عنوان توسعهدهنده، مدیر پروژه و رهبر اجرایی در بیش از هزار نسخه برای برنامههای کاربردی مصرفکننده و تجاری شرکت کردهام، ماهیت عملی انتشار محصولات با کیفیت در زمان و بودجه را درک میکنم.
در نقشهایم به عنوان رهبر امنیت سایبری و رهبر امنیت محصول، مسئولیت ارائه برنامههای کاربردی، محصولات، سیستمها و زیرساختهای امن را برای مجموعهای از بیش از 15000 محصول هوشمند بر عهده داشتم.
با این حال، آنچه من را به اشتیاق من برای امنیت زنجیره تامین سوق داد، نتیجه کار من با هزاران فروشنده در زنجیره تامین است.
سالهاست که با تامینکنندگان ملاقات میکنم تا در مورد چرخه عمر توسعه امن، برنامههای تست امن، مدیریت آسیبپذیری، ریسک شخص ثالث و موارد دیگر صحبت کنم. این تأمینکنندگان که کد منبع، کتابخانههای نرمافزار، مؤلفهها، محصولات و خدمات را ارائه میکنند، معمولاً منابع یک شرکت بزرگ و چندملیتی را ندارند.
شناسایی کنترلها و شیوههای کلیدی برای موقعیت خاص آنها مستلزم درک اولویتها، خطرات و اثرات است. این یک همکاری است که برای من بسیار مهم است، و من کتاب Software Supply Chain Security را به طور خاص برای سازمانهایی که مشتاق بهبود امنیت زنجیره تامین نرم افزار هستند، نوشته ام.
امنیت زنجیره تامین نرم افزار به سرعت تغییر میکند. بدون شک حتی قبل از انتشار این کتاب چارچوبها، اسناد، مقررات، ایدهها و پیوندهای جدید و تغییر یافته ای وجود خواهد داشت.
قصد من این است که این اطلاعات را تا حد امکان به روز نگه دارم، بنابراین لطفاً در خبرنامه من ثبت نام کنید. همچنین میتوانید برای ارسال به روز رسانیها، بازخوردها و اصلاحات با من در cassie@supplychainsecurity.pro تماس بگیرید. یک قرار ملاقات تنظیم کنید؛ یا از من به عنوان سخنران یا مهمان درخواست کنید.
پیمایش در کتاب Software Supply Chain Security
این کتاب به شرح زیر تنظیم شده است:
• فصل 1 و 2 مقدمهای بر مفاهیم امنیت زنجیره تامین نرم افزار و توضیحاتی در مورد چارچوبها و مراجع مختلف در مدیریت ریسک زنجیره تامین ارائه میکند.
• فصل 3 کتاب Software Supply Chain Security، کنترلهای امنیتی زیرساختهای مختلف را که برای امنیت زنجیره تأمین نرم افزار نیاز به توجه ویژه دارند، خلاصه میکند.
• فصل 4 شیوههای کلیدی را در چرخه حیات توسعه ایمن و چارچوبهای مختلف موجود بررسی میکند.
• فصلهای 5 و 6 کتاب Software Supply Chain Security انواع مختلف کد منبع و نحوه حفظ یکپارچگی آنها را در طول توسعه، ساخت، استقرار و عملیات برای نرمافزار، محصولات، زیرساختها و برنامههای کاربردی ابری شرح میدهند.
• فصل 7 خطرات امنیتی مربوط به مالکیت معنوی کد منبع و هر داده مورد استفاده در زنجیره تامین را ارائه میکند.
• فصل 8 شفافیت محصولات و خدمات را از طریق صورتحساب نرم افزاری مواد و افشای آسیبپذیریها مورد بحث قرار میدهد.
• فصل 9 سازمانها را برای انجام ارزیابی و مدیریت قراردادهای سایبری با تامینکنندگان شخص ثالث آماده میکند.
• فصل 10 کتاب Software Supply Chain Security، خطرات و کنترلهایی را برای محصولاتی که از طریق فرآیندهای بالادستی مانند تولید، تدارکات، یا پروژههای مشتری پیش از رسیدن به مصرفکننده عبور میکنند، مشخص میکند.
• فصل 11 کتاب Software Supply Chain Security بر خطرات معرفی شده توسط افراد در زنجیره تامین و نحوه رسیدگی به این خطرات با آگاهی و آموزش تمرکز دارد.
در اکثر فصول کتاب Software Supply Chain Security و در ضمیمهای در پایان گردآوری شده است، من همچنین نزدیک به 80 کنترل را ارائه میکنم که به طور خاص بر امنیت زنجیره تامین نرم افزار متمرکز شدهاند.
میتوانید این کنترلها را با نیازهای سازمان خود اضافه، حذف، تغییر دهید یا تراز کنید. هنگامی که در خبرنامه من ثبت نام میکنید، کنترلها برای دانلود در دسترس هستند.
سرفصلهای کتاب Software Supply Chain Security:
- Cover
- Copyright
- Table of Contents
- Foreword
- Preface
- Chapter 1. Supply Chain Security
- Chapter 2. Supply Chain Frameworks and Standards
- Chapter 3. Infrastructure Security in the Product Lifecycle
- Chapter 4. Secure Development Lifecycle
- Chapter 5. Source Code, Build, and Deployment Management
- Chapter 6. Cloud and DevSecOps
- Chapter 7. Intellectual Property and Data
- Chapter 8. Software Transparency
- Chapter 9. Suppliers
- Chapter 10. Manufacturing and Device Security
- Chapter 11. People in the Software Supply Chain
- Appendix A. Security Controls
- Index
- About the Author
- Colophon
جهت دانلود کتاب Software Supply Chain Security میتوانید پس از پرداخت، دریافت کنید.
دیدگاهها
هیچ دیدگاهی برای این محصول نوشته نشده است.