کتاب Software Supply Chain Security

کتاب Software Supply Chain Security: Securing the End-to-end Supply Chain for Software, Firmware, and Hardware (امنیت زنجیره تامین نرم افزار: ایمن سازی زنجیره تامین انتها به انتها برای نرم افزار، سفت افزار و سخت افزار) نگاهی جامع به خطرات امنیتی به شما می‌دهد و کنترل‌های عملی را که باید در زنجیره تأمین نرم‌افزار انتها به انتها خود بگنجانید، شناسایی می‌کند.

نویسنده Cassie Crossley نشان می‌دهد که اگر سازمان شما می‌خواهد وضعیت امنیتی نرم‌افزار، سیستم‌افزار و سخت‌افزار خود را بهبود بخشد، چگونه و چرا همه افراد درگیر در زنجیره تأمین باید مشارکت کنند.

در ادامه مقدمه‌ای از کتاب Software Supply Chain Security را از زبان نویسنده شرح خواهیم داد.

مقدمه‌ای بر کتاب Software Supply Chain Security:

نرم افزار همه جا هست تریلیون‌ها خط کد منبع در هر بخش از زندگی ما اجرا می‌شود. یک آسیب‌پذیری نرم‌افزاری یا حمله باج‌افزاری می‌تواند کل شرکت‌ها را از انجام تجارت باز دارد و باعث از دست دادن میلیاردها دلار درآمد و بازیابی کسب‌وکار می‌شود.

اکنون، بیش از هر زمان دیگری، باید اطمینان حاصل کنیم که نرم افزار، سیستم عامل و سخت افزار ما ایمن هستند تا دنیای خود را به صورت ایمن و ایمن حفظ کنیم.

بدافزارها، آسیب‌پذیری‌های امنیتی، امنیت برنامه‌ها و امنیت محصولات برای صنعت نرم‌افزار جدید نیستند، اما اکنون این موضوعات به دلیل تأثیراتی که بر همه می‌گذارند به اخبار اصلی رسیده‌اند. نقش من در این امر زمانی بسیار واقعی شد که در هفته حمله به خط لوله استعماری در ساحل شرقی ایالات متحده به دیدار خانواده ام رفتم.

من دو ساعت در صف تنها پمپ بنزین در فاصله 20 مایلی که دارای بنزین بود، سپری کردم و سپس بقیه را در صف گذراندم. در آن بعد از ظهر به خانواده ام درباره تداوم کسب و کار و حملات زنجیره تامین توضیح دادم.

زنجیره تامین برای زندگی ما حیاتی است. به گفته Investopedia، «زنجیره تأمین شبکه‌ای از افراد و شرکت‌هایی است که در ایجاد یک محصول و ارائه آن به مصرف‌کننده نقش دارند».

نرم افزار معمولا توسط افراد متعددی که اغلب بخشی از چندین سازمان یا شرکت هستند، توسعه می‌یابد. با گذشت زمان، هزاران توسعه‌دهنده ممکن است در داخل یک برنامه کد داشته باشند. به عنوان مثال، من کدی را برای paint.exe ZSoft نوشتم که در دهه 1980 به مایکروسافت فروخته شد.

من مطمئن هستم که خطوطی از کد من هنوز در MS Paint در پلت فرم ویندوز مایکروسافت وجود دارد. تقریباً 40 سال بعد، تعداد بی‌شماری از توسعه‌دهندگان نیز استعدادهای خود را در این اپلیکیشن کوچک اما مفید سهیم کرده‌اند.

اطمینان از امنیت نرم‌افزار در زنجیره تامین، معمولاً به دلیل طول عمر کدی است که قبل از توسعه ایمن و شیوه‌های طراحی ایمن نوشته شده بود، دشوار است.

در ترکیب با عوامل تهدید روزافزون که دائماً در حال کشف راه‌های جدید برای بهره‌برداری از کد و سیستم هستند، تضمین امنیت یک محصول یا برنامه همیشه دشوار خواهد بود، اما این نباید مانع از انجام تمام تلاش خود برای ایمن سازی زنجیره تأمین نرم‌افزار شود.
علیرغم ماهیت پیچیده زنجیره تامین نرم افزار، وظیفه ما به عنوان تولیدکنندگان نرم افزار ایجاد زنجیره تامین امن و ارائه اطلاعات به مصرف‌کنندگان است. به عنوان مصرف کننده، ما باید از این اطلاعات برای رسیدگی به خطراتی که زنجیره تامین ممکن است برای سازمان‌های خودمان ایجاد کند استفاده کنیم.

تلاش برای بهبود زنجیره تامین نرم افزار یک شرکت کم نیست. و این فقط یک مشکل فرآیند توسعه نرم‌افزار نیست: امنیت زنجیره تامین نرم‌افزار نیازمند مشارکت همه طرف‌های زنجیره تامین برای بهبود وضعیت امنیتی نرم‌افزار، سیستم عامل و سخت‌افزار است.

در کتاب Software Supply Chain Security، من به شما نشان می‌دهم که چگونه یک برنامه امنیتی زنجیره تامین نرم‌افزار را در سازمانی با هر اندازه‌ای پیاده‌سازی کنید، مخصوصاً برای شرکت‌های کوچکی که کارشناسان امنیتی برنامه‌های کاربردی یا زنجیره تامین اختصاصی ندارند. من توضیح خواهم داد که چرا هر کنترل امنیتی وجود دارد، بدون اینکه کسی به مدرک علوم کامپیوتر یا امنیت سایبری برای درک خطرات امنیتی و دلایل کنترل‌ها نیاز داشته باشد.

کتاب Software Supply Chain Security قرار نیست مجموعه‌ای جامع از کنترل‌ها باشد. می‌توانید کنترل‌هایی را که قابل اجرا نیستند حذف کنید و کنترل‌هایی را که نیاز دارید به چارچوب کنترل‌هایی که از قبل در اختیار دارید اضافه کنید.

من صدها مرجع را برای کسانی که نیاز به پیروی از چارچوب‌ها، استانداردها، قوانین یا مقررات الزامی دارند گنجانده‌ام. با این حال، من باید به شما هشدار دهم که خود را به آن چارچوب‌ها محدود نکنید. همیشه باید کنترل‌های خود را گسترش داده و تطبیق دهید تا با شکاف‌ها و خطرات موجود در سازمان خود مقابله کنید.

چه کسی باید کتاب Software Supply Chain Security را بخواند؟

این کتاب برای هر کسی است که وظیفه امنیت اشخاص ثالث، زنجیره تامین، خرید محصولات و برنامه‌های کاربردی برای سازمان خود، نرم‌افزار منبع باز یا نرم‌افزارهای توسعه‌یافته در سازمانشان را بر عهده دارد. ممکن است در عنوان خود “امنیت” داشته باشید یا نداشته باشید.

هر کسی که انتخاب، تولید و بهره‌برداری نرم‌افزار به او سپرده شده است، می‌تواند از کتاب Software Supply Chain Security برای درک خطرات موجود در زنجیره تامین نرم‌افزار و اجرای کنترل‌ها و چارچوب‌ها استفاده کند. این کتاب به پیش‌زمینه امنیت سایبری نیاز ندارد، اگرچه برخی از زمینه‌ها در توضیح فنی هستند، با ارجاعات زیادی برای تشویق یادگیری بیشتر.

من این مرجع عملی را ایجاد کرده ام تا برای رهبران کسب و کار و فناوری، و همچنین کسانی که در سازمان‌های قانونی، تدارکات، بیمه و زنجیره تامین هستند، قابل درک باشد.

کتاب Software Supply Chain Security، همچنین برای رهبران برنامه‌های امنیتی است، چه در نقش CISO (مسئول امنیت اطلاعات)، CPSO (مسئول امنیت محصول)، CSO (مسئول ارشد امنیت)، GRC (حاکمیت، ریسک و انطباق)، امنیت برنامه، یا امنیت محصول.

چرا کتاب Software Supply Chain Security را نوشتم؟

داستان توسعه نرم افزار من با بازدید از کار پدرم در کارخانه تولید IBM در روچستر، مینه سوتا، در اواسط دهه 1970 آغاز شد. پدرم یک برنامه نویس بود، و اگرچه من واقعاً نمی‌دانستم چه کاری انجام می‌دهد، اما می‌دانستم که این کار با ساخت ماشین‌هایی که چیزهای جالب و پیچیده‌ای تولید می‌کنند مرتبط است.

سال‌ها بعد، هنوز هم توسعه نرم افزار را جالب، پیچیده و پر از نکات ظریف می‌دانم. به عنوان فردی که به عنوان توسعه‌دهنده، مدیر پروژه و رهبر اجرایی در بیش از هزار نسخه برای برنامه‌های کاربردی مصرف‌کننده و تجاری شرکت کرده‌ام، ماهیت عملی انتشار محصولات با کیفیت در زمان و بودجه را درک می‌کنم.

در نقش‌هایم به عنوان رهبر امنیت سایبری و رهبر امنیت محصول، مسئولیت ارائه برنامه‌های کاربردی، محصولات، سیستم‌ها و زیرساخت‌های امن را برای مجموعه‌ای از بیش از 15000 محصول هوشمند بر عهده داشتم.

با این حال، آنچه من را به اشتیاق من برای امنیت زنجیره تامین سوق داد، نتیجه کار من با هزاران فروشنده در زنجیره تامین است.

سال‌هاست که با تامین‌کنندگان ملاقات می‌کنم تا در مورد چرخه عمر توسعه امن، برنامه‌های تست امن، مدیریت آسیب‌پذیری، ریسک شخص ثالث و موارد دیگر صحبت کنم. این تأمین‌کنندگان که کد منبع، کتابخانه‌های نرم‌افزار، مؤلفه‌ها، محصولات و خدمات را ارائه می‌کنند، معمولاً منابع یک شرکت بزرگ و چندملیتی را ندارند.

شناسایی کنترل‌ها و شیوه‌های کلیدی برای موقعیت خاص آنها مستلزم درک اولویت‌ها، خطرات و اثرات است. این یک همکاری است که برای من بسیار مهم است، و من کتاب Software Supply Chain Security را به طور خاص برای سازمان‌هایی که مشتاق بهبود امنیت زنجیره تامین نرم افزار هستند، نوشته ام.
امنیت زنجیره تامین نرم افزار به سرعت تغییر می‌کند. بدون شک حتی قبل از انتشار این کتاب چارچوب‌ها، اسناد، مقررات، ایده‌ها و پیوندهای جدید و تغییر یافته ای وجود خواهد داشت.

قصد من این است که این اطلاعات را تا حد امکان به روز نگه دارم، بنابراین لطفاً در خبرنامه من ثبت نام کنید. همچنین می‌توانید برای ارسال به روز رسانی‌ها، بازخوردها و اصلاحات با من در [email protected] تماس بگیرید. یک قرار ملاقات تنظیم کنید؛ یا از من به عنوان سخنران یا مهمان درخواست کنید.

پیمایش در کتاب Software Supply Chain Security

این کتاب به شرح زیر تنظیم شده است:

• فصل 1 و 2 مقدمه‌ای بر مفاهیم امنیت زنجیره تامین نرم افزار و توضیحاتی در مورد چارچوب‌ها و مراجع مختلف در مدیریت ریسک زنجیره تامین ارائه می‌کند.

• فصل 3 کتاب Software Supply Chain Security، کنترل‌های امنیتی زیرساخت‌های مختلف را که برای امنیت زنجیره تأمین نرم افزار نیاز به توجه ویژه دارند، خلاصه می‌کند.

• فصل 4 شیوه‌های کلیدی را در چرخه حیات توسعه ایمن و چارچوب‌های مختلف موجود بررسی می‌کند.

• فصل‌های 5 و 6 کتاب Software Supply Chain Security انواع مختلف کد منبع و نحوه حفظ یکپارچگی آنها را در طول توسعه، ساخت، استقرار و عملیات برای نرم‌افزار، محصولات، زیرساخت‌ها و برنامه‌های کاربردی ابری شرح می‌دهند.

• فصل 7 خطرات امنیتی مربوط به مالکیت معنوی کد منبع و هر داده مورد استفاده در زنجیره تامین را ارائه می‌کند.

• فصل 8 شفافیت محصولات و خدمات را از طریق صورتحساب نرم افزاری مواد و افشای آسیب‌پذیری‌ها مورد بحث قرار می‌دهد.

• فصل 9 سازمان‌ها را برای انجام ارزیابی و مدیریت قراردادهای سایبری با تامین‌کنندگان شخص ثالث آماده می‌کند.

• فصل 10 کتاب Software Supply Chain Security، خطرات و کنترل‌هایی را برای محصولاتی که از طریق فرآیندهای بالادستی مانند تولید، تدارکات، یا پروژه‌های مشتری پیش از رسیدن به مصرف‌کننده عبور می‌کنند، مشخص می‌کند.

• فصل 11 کتاب Software Supply Chain Security بر خطرات معرفی شده توسط افراد در زنجیره تامین و نحوه رسیدگی به این خطرات با آگاهی و آموزش تمرکز دارد.

در اکثر فصول کتاب Software Supply Chain Security و در ضمیمه‌ای در پایان گردآوری شده است، من همچنین نزدیک به 80 کنترل را ارائه می‌کنم که به طور خاص بر امنیت زنجیره تامین نرم افزار متمرکز شده‌اند.

می‌توانید این کنترل‌ها را با نیازهای سازمان خود اضافه، حذف، تغییر دهید یا تراز کنید. هنگامی که در خبرنامه من ثبت نام می‌کنید، کنترل‌ها برای دانلود در دسترس هستند.

سرفصل‌های کتاب Software Supply Chain Security:

• Cover
• Copyright
• Table of Contents
• Foreword
• Preface
• Chapter 1. Supply Chain Security
• Chapter 2. Supply Chain Frameworks and Standards
• Chapter 3. Infrastructure Security in the Product Lifecycle
• Chapter 4. Secure Development Lifecycle
• Chapter 5. Source Code, Build, and Deployment Management
• Chapter 6. Cloud and DevSecOps
• Chapter 7. Intellectual Property and Data
• Chapter 8. Software Transparency
• Chapter 9. Suppliers
• Chapter 10. Manufacturing and Device Security
• Chapter 11. People in the Software Supply Chain
• Appendix A. Security Controls
• Index
• About the Author
• Colophon

جهت دانلود کتاب Software Supply Chain Security می‌توانید پس از پرداخت، دریافت کنید.