資訊安全書展|中文簡體2書75折 英文2書85折 詳見活動內容 »
-
CYBERSEC 2026 臺灣資安年鑑 ─ AI 代理改寫資安戰局 掌握10大關鍵風險$179$161 -
CYBERSEC 2025 臺灣資安年鑑 ─ 全球地緣政治衝突激化,國家級駭客鎖定企業$179$161 -
CYBERSEC 2024 臺灣資安年鑑 ─ AI 資安 2024 徹底剖析生成式 AI 資安攻防態勢$179$161 -
CYBERSEC 2022 臺灣資安年鑑 ─ 零信任資安時代來臨:信任邊界徹底瓦解,安全需源自反覆驗證$179$161 -
CYBERSEC 2021 臺灣資安年鑑 ─ 資安絕地大反攻:新一代主動式資安防禦概念來了!$179$161 -
5折
未來數位科技活用大全:從 AI 協作、程式設計、資訊安全到大數據分析, 2/e$600$300 -
79折
混合雲安全架構|零信任原則的安全設計方法與實作 (Security Architecture for Hybrid Cloud: A Practical Method for Designing Security Using Zero Trust Principles)$780$616 -
79折
駭客的 Linux 基礎入門必修課, 2/e (Linux Basics for Hackers : Getting Started with Networking, Scripting, and Security in Kali, 2/e)$520$410 -
78折
Graylog 整合應用實戰:打造視覺化與智慧化的新世代資安監控平台$650$507 -
79折
雲端原生資安指南|CNAPP 打造 DevSecOps 零死角防護 (Cloud Native Application Protection Platforms: A Guide to CNAPPs and the Foundations of Comprehensive Cloud Security)$580$458 -
79折
零信任網路|在不受信任的網路中建構安全系統, 2/e (Zero Trust Networks: Building Secure Systems in Untrusted Networks, 2/e)$680$537 -
5折
看不見的戰場:社群、AI 與企業資安危機$750$375 -
79折
數位國土保衛戰:從數位身分證、AI到電子投票,揭開臺灣數位化暗藏的國安危機$420$331 -
54折
裂縫碎光:資安數位生存戰$550$299 -
79折
LLM 資安教戰手冊|打造安全的 AI 應用程式 (The Developer's Playbook for Large Language Model Security)$580$458 -
66折
究極 Web 資安心智圖學習法!嚴選12大主題 × 7張心智圖 × 7個實戰,核心技能無痛升級(iThome鐵人賽系列書)$620$409 -
79折
資訊安全管理領導力實戰手冊$599$473 -
78折
一個人的藍隊:企業資安防護技術實戰指南(iThome鐵人賽系列書)$650$507 -
63折
資安密碼-隱形帝國:AI數位鑑識、社交工程攻防與現代密碼技術實戰$550$349 -
78折
資安鑑識分析:數位工具、情資安全、犯罪偵防與證據追蹤$560$436 -
85折
鋼索上的管理課【全新增訂版+資安風險升級主題】:韌性與敏捷管理的洞見與實踐$480$408 -
5折
營養師不開菜單後的 Next.js 全端轉職攻略:從專案規劃、畫面設計、資安到 SEO,挑戰一人 Side Project (iThome鐵人賽系列書)$680$340 -
5折
從零開始 OCS Inventory:打造資訊資產管理 × 資安 CVE 漏洞通報(iThome鐵人賽系列書)$650$325 -
79折
Beyond XSS:探索網頁前端資安宇宙$880$695 -
75折
工控資安銳視角:石化場域 OT / ICS 學習筆記$680$510
資訊安全書展|中文簡體2書75折 英文2書85折 詳見活動內容 »
-
VIP 95折
築牢“養蝦”全場景安全防線:保姆級 OpenClaw 安全應用實戰$299$284 -
VIP 95折
人工智能的後量子安全$708$672 -
VIP 95折
AI驅動安全:技術原理與行業實踐$779$740 -
VIP 95折
數據安全架構設計與實戰$654$621 -
85折
$504網絡安全治理 基於DevSecOps的理論與實踐 -
VIP 95折
可信計算原理及應用$359$341 -
85折
$453供應鏈安全與治理:基於關鍵信息基礎設施信息系統的實踐 -
85折
$254安全至上——高職學校學生安全教育教程 -
VIP 95折
安全 QR 碼設計方法研究$479$455 -
75折
$404雲攻擊向量 -
79折
$331智能終端安全與實踐:基於OpenHarmony操作系統 -
85折
$652初識密碼學 -
VIP 95折
商用密碼應用技術$414$393 -
79折
$327網絡安全建設與運營 -
85折
$351網絡安全保護制度與實施 -
VIP 95折
數據安全管理與技術$414$393 -
VIP 95折
機密計算:原理與技術$534$507 -
VIP 95折
零基礎快速入行 SOC 分析師, 2/e$359$341 -
85折
$505網絡空間安全與數據治理 -
79折
$473數據要素安全:新技術、新安全激活新質生產力 -
79折
$469網絡安全與決策(數據安全與數字信任) -
79折
$852數據安全 -
85折
$555計算機安全導論(原書第5版) -
VIP 95折
工控系統信息安全——智能製造背景下的數字化安全保障$474$450 -
VIP 95折
密碼芯片設計與實踐$294$279
相關主題
商品描述
軟件供應鏈是指在軟件開發、測試、發布和維護的全生命周期中,涉及到軟 件產品和服務的所有組成部分和相關方,包括軟件開發人員、供應商、第三方組 件提供商、托管服務提供商、運維人員、安全審計機構等。軟件在開發和運行過 程中, 涉及到的所有開源軟件的上遊社區、源碼包、二進制包、第三方組件分發 市場、應用軟件分發市場, 以及開發者和維護者、社區、基金會等, 按照依賴、 組合等形成的供應關系網絡,這些組成部分和相關方在整個過程中相互協作,以 保證軟件產品和服務的質量和安全性,同時保持生產效率和降低成本。隨著軟件 在現代社會中的作用越來越重要,軟件的供應鏈也變得越來越復雜和龐大,其中 可能包含許多不同的組件、庫和第三方工具。
目錄大綱
目 錄
第1章 軟件供應鏈安全概述 001
1.1 背景 002
1.1.1 什麼是軟件供應鏈安全 003
1.1.2 軟件供應鏈安全現狀 004
1.1.3 軟件供應鏈安全政策法規及標準 007
1.1.4 軟件供應鏈安全市場 016
1.2 軟件供應鏈攻擊特點 027
1.2.1 攻擊面廣、攻擊門檻低 027
1.2.2 隱蔽性強、潛意識信任 028
1.2.3 傳播性強、傷害性大 028
1.2.4 攻擊手段新、攻擊復雜化 028
1.3 軟件供應鏈面臨的安全挑戰 029
1.3.1 供應商可信度難以評估 029
1.3.2 供應鏈復雜度高 030
1.3.3 軟件供應鏈透明度低 030
1.3.4 風險響應速度慢 031
1.3.5 安全重視程度不足、人員意識薄弱 032
1.3.6 軟件供應鏈安全威脅 033
第2章 軟件供應鏈安全治理框架 034
2.1 軟件供應鏈安全治理整體框架 035
2.2 軟件供應鏈安全治理理念 036
2.3 軟件供應鏈安全組織與制度建設 037
2.4 軟件供應鏈安全研發體系 038
2.5 軟件供應鏈安全技術能力 039
第3章 軟件供應鏈安全管理機構與人員 040
3.1 安全管理機構 041
3.1.1 機構崗位設置 041
3.1.2 授權和批準 042
3.1.3 溝通與合作 043
3.1.4 審計和檢查 043
3.1.5 實踐示例 044
3.2 安全管理人員 047
3.2.1 人員招聘 048
3.2.2 離崗人員 048
3.2.3 安全意識教育和培訓 049
第4章 軟件供應商安全治理 050
4.1 基本定義 051
4.1.1 軟件供應商在供應鏈中所處位置 051
4.1.2 軟件供應商安全治理意義 052
4.1.3 軟件供應商治理環節 053
4.2 明確軟件供應商安全治理總體方針 054
4.2.1 梳理業務核心需求 055
4.2.2 以政策法規、領域指標為導向 055
4.3 軟件供應商風險評估 056
4.3.1 供應商資質評估 057
4.3.2 供應商安全評估 063
4.3.3 軟件產品安全評估 070
4.4 供應商引入安全 078
4.5 安全治理職能確立 079
4.6 供應商風險監控 081
4.7 供應商清退制度 082
4.7.1 明確清退標準 083
4.7.2 制定清退機制 083
第5章 第三方軟件管理 086
5.1 第三方軟件概述 087
5.1.1 什麼是第三方軟件 087
5.1.2 第三方軟件風險 088
5.1.3 安全管理的必要性 089
5.2 商用採購軟件安全管理 090
5.2.1 商用採購軟件介紹 090
5.2.2 風險分析 091
5.2.3 安全管理指南 092
5.3 開源軟件安全管理 095
5.3.1 開源軟件介紹 095
5.3.2 風險分析 095
5.3.3 安全管理指南 097
5.4 外包軟件安全管理 099
5.4.1 外包軟件介紹 099
5.4.2 風險分析 100
5.4.3 安全管理指南 102
第6章 軟件安全研發——需求設計階段 105
6.1 需求設計階段的安全必要性 106
6.2 威脅建模 107
6.2.1 威脅建模介紹 107
6.2.2 威脅建模協助安全需求與安全設計 108
6.3 安全需求 109
6.3.1 常用安全需求分析方法 110
6.3.2 安全需求分析方法在實踐中的應用 118
6.3.3 借助威脅建模生成安全需求 120
6.3.4 安全需求分析實踐案例 123
6.4 安全設計 127
6.4.1 針對安全需求的安全設計 128
6.4.2 安全架構分析 130
6.4.3 設計有效性校驗 134
第7章 軟件安全研發——開發階段 136
7.1 開發階段風險分析 137
7.2 安全開發標準與管理體系 138
7.2.1 安全開發標準 138
7.2.2 安全開發管理體系 140
7.3 安全編碼 142
7.3.1 常見代碼漏洞原理和修復方式 142
7.3.2 軟件安全編碼規範 144
7.4 引入組件的安全 147
7.4.1 第三方組件風險 147
7.4.2 組件選擇 149
7.4.3 引入流程 152
7.4.4 組件修復 155
7.4.5 組件的使用 157
7.5 代碼評審與代碼審計 158
7.5.1 代碼評審 158
7.5.2 代碼審計 160
7.6 安全成果驗收 161
第8章 軟件安全研發——驗證階段 163
8.1 軟件安全驗證框架 165
8.2 安全需求驗證 166
8.3 主流漏洞驗證 169
8.3.1 主流漏洞類型 170
8.3.2 主流漏洞測試方法 171
8.3.3 主流漏洞修復示例 172
8.4 開源組件漏洞驗證 178
8.4.1 開源組件風險類型 178
8.4.2 開源組件風險測試方法 180
8.4.3 開源組件修復示例 181
8.5 業務邏輯漏洞驗證 182
8.5.1 業務邏輯漏洞類型 182
8.5.2 業務邏輯漏洞測試方法 183
8.5.3 業務邏輯漏洞修復示例 183
8.6 API安全驗證 185
8.6.1 修復API漏洞涉及的內容 186
8.6.2 常見的API漏洞修復示例 186
8.7 App安全驗證 187
8.7.1 App漏洞類型 187
8.7.2 App漏洞測試方法 188
8.7.3 App漏洞修復示例 189
8.8 數據安全驗證 189
8.8.1 數據安全漏洞類型 189
8.8.2 數據安全測試方法 190
8.8.3 數據安全漏洞風險及修復示例 191
8.9 上線前安全評審 191
8.9.1 上線前安全評審的重要性 192
8.9.2 安全基線驗證 192
第9章 軟件安全研發——發布和部署階段 194
9.1 發布和部署階段的安全風險 196
9.2 實用安全實踐 197
9.2.1 安全發布管理 197
9.2.2 安全部署策略 203
9.2.3 安全部署測試 206
9.2.4 持續監控和事件響應 208
9.3 基於生命周期的軟件安全發布流程 209
第10章 開發過程中的數據安全 212
10.1 數據安全左移 213
10.1.1 計劃設計階段 214
10.1.2 開發階段 216
10.1.3 驗證階段 223
10.2 軟件供應鏈數據安全 223
10.2.1 軟件供應鏈數據概述 224
10.2.2 軟件供應鏈數據的風險與威脅 228
10.2.3 軟件供應鏈數據保護的基本原則和具體措施 234
第11章 軟件供應鏈環境安全 244
11.1 開發環境安全 245
11.1.1 軟件開發環節 245
11.1.2 開發環境風險 246
11.1.3 開發環境安全指南 246
11.2 交付環境安全 249
11.2.1 分發市場安全 249
11.2.2 軟件部署安全 249
11.3 使用環境安全 254
11.3.1 一般計算環境安全 254
11.3.2 雲計算環境安全 255
第12章 軟件供應鏈安全運行管理 257
12.1 安全運行管理概述 258
12.1.1 安全運行時的軟件供應鏈安全風險 258
12.1.2 安全運行時的軟件供應鏈安全管理環節 258
12.2 風險基線 259
12.2.1 事先設置風險基線的必要性 259
12.2.2 風險基線的制定 260
12.2.3 風險基線的使用 263
12.3 安全防禦 263
12.3.1 運行時應用程序自我保護 264
12.3.2 開源組件安全防禦 266
12.3.3 Web應用程序防火牆 266
12.3.4 其他工具 268
12.4 監控風險 269
12.5 響應與處置 272
12.5.1 應急響應團隊 273
12.5.2 應急響應過程 273
12.5.3 溝通渠道 276
第13章 軟件供應鏈安全制度 278
13.1 制定與修訂 279
13.1.1 安全策略 279
13.1.2 目標 279
13.1.3 制定和發布 279
13.1.4 審查和修訂 280
13.2 參與人員管理 280
13.2.1 安全責任書 280
13.2.2 權限分配 280
13.2.3 能力和資格評估 281
13.2.4 背景核查 281
13.2.5 技能培訓和發展 281
13.2.6 離職管理 281
13.3 供應商管理 282
13.3.1 供應商的選擇 282
13.3.2 風險評估 283
13.3.3 合同要求 283
13.3.4 供應商監控 283
13.4 產品採購和使用管理 284
13.4.1 遵守國家法規 284
13.4.2 產品選擇和評估 284
13.4.3 安全責任劃分 285
13.4.4 關鍵部件的特殊測試 285
13.4.5 持續監控和改進 285
13.4.6 知識產權管理 286
13.5 安全設計管理 286
13.5.1 威脅建模 286
13.5.2 安全需求設計 286
13.5.3 安全架構設計 287
13.6 安全開發管理 287
13.6.1 內部軟件開發管理 287
13.6.2 外包軟件開發管理 288
13.6.3 外部組件管理 289
13.7 軟件代碼庫管理 289
13.7.1 統一的軟件產品和源代碼庫 290
13.7.2 代碼庫分支 290
13.7.3 安全漏洞檢測 290
13.7.4 代碼和組件的可用性 290
13.7.5 清潔和安全的軟件代碼 290
13.8 安全檢測管理 291
13.8.1 安全檢測方法 291
13.8.2 第三方軟件風險檢測 291
13.8.3 檢測規劃和執行 291
13.8.4 檢測結果分析和補救 292
13.8.5 檢測報告和文檔 292
13.8.6 持續改進 292
13.9 風險與漏洞管理 292
13.9.1 風險管理 292
13.9.2 漏洞管理 293
13.10 檢測驗收管理 294
13.10.1 檢測驗收計劃 294
13.10.2 檢測驗收的執行 295
13.10.3 檢測驗收報告 295
13.10.4 部署前的安全測試 295
13.10.5 交付清單和設備驗證 295
13.10.6 操作和維護人員的技能培訓 295
13.10.7 文件和記錄的保存 296
13.10.8 軟件廢止 296
13.11 安全事件管理 296
13.11.1 應急計劃管理 296
13.11.2 安全事件處理 297
