مجله علمی تفریحی بیبیس

پست های اخیر

0

دانلود کتاب امنیت زنجیره تأمین نرم‌افزار – ایمن‌سازی زنجیره تأمین سرتاسری برای نرم‌افزار، میان‌افزار و سخت‌افزار

  • عنوان کتاب: Software Supply Chain Security -Securing the End-to-end Supply Chain for Software, Firmware, and Hardware
  • نویسنده: Cassie Crossley
  • حوزه: امنیت زنجیره تامین
  • سال انتشار: 2024
  • تعداد صفحه: 242
  • زبان اصلی: انگلیسی
  • نوع فایل: pdf
  • حجم فایل: 5.87 مگابایت

نرم‌افزار همه جا هست. تریلیون‌ها خط کد منبع در هر بخش از زندگی ما در حال اجرا هستند. یک آسیب‌پذیری نرم‌افزاری یا حمله باج‌افزاری می‌تواند کل شرکت‌ها را از انجام تجارت باز دارد و باعث میلیاردها دلار ضرر درآمد و بازیابی کسب‌وکار شود. اکنون، بیش از هر زمان دیگری، باید اطمینان حاصل کنیم که نرم‌افزار، میان‌افزار و سخت‌افزار ما ایمن هستند تا دنیای ما به طور ایمن و مطمئن فعال و در حال اجرا بماند. بدافزارها، آسیب‌پذیری‌های امنیتی، امنیت برنامه‌ها و امنیت محصول برای صنعت نرم‌افزار چیز جدیدی نیستند، اما اکنون این موضوعات به دلیل تأثیراتی که بر همه دارند، به اخبار اصلی رسیده‌اند. نقش من در این امر زمانی بسیار واقعی شد که در هفته حمله به خط لوله استعماری، به دیدار خانواده‌ام در ساحل شرقی ایالات متحده رفتم.1 من دو ساعت در صف تنها پمپ بنزین در فاصله 20 مایلی که بنزین داشت، منتظر ماندم و سپس بقیه بعدازظهر را به توضیح در مورد تداوم تجارت و حملات زنجیره تأمین برای خانواده‌ام گذراندم. زنجیره‌های تأمین برای زندگی ما حیاتی هستند. طبق گفته Investopedia، “زنجیره تأمین شبکه‌ای از افراد و شرکت‌هایی است که در ایجاد یک محصول و تحویل آن به مصرف‌کننده نقش دارند.”2 همین امر در مورد نرم‌افزار نیز صادق است. نرم‌افزار معمولاً توسط افراد متعددی توسعه داده می‌شود که اغلب بخشی از چندین سازمان یا شرکت هستند. با گذشت زمان، هزاران توسعه‌دهنده ممکن است درون یک برنامه واحد کد داشته باشند. به عنوان مثال، من برای paint.exe شرکت ZSoft کد نوشتم که در دهه 1980 به مایکروسافت فروخته شد. مطمئنم که هنوز خطوطی از کد من در MS Paint روی پلتفرم مایکروسافت ویندوز وجود دارد. تقریباً 40 سال بعد، تعداد بی‌شماری از توسعه‌دهندگان نیز استعدادهای خود را در این برنامه کوچک اما مفید به کار گرفته‌اند. تضمین امنیت نرم‌افزار در زنجیره تأمین دشوار است، معمولاً به دلیل طول عمر کدی که قبل از اجرای شیوه‌های توسعه امن و طراحی امن نوشته شده است. همراه با افزایش روزافزون عوامل تهدید که دائماً در حال کشف راه‌های جدید برای سوءاستفاده از کد و سیستم‌ها هستند، تضمین امنیت یک محصول یا برنامه همیشه دشوار خواهد بود، اما این نباید مانع از انجام تمام تلاش خود برای ایمن‌سازی زنجیره تأمین نرم‌افزار شود. با وجود ماهیت پیچیده زنجیره تأمین نرم‌افزار، وظیفه ما به عنوان تولیدکنندگان نرم‌افزار ایجاد زنجیره‌های تأمین امن و ارائه اطلاعات به مصرف‌کنندگان است. به عنوان مصرف‌کننده، ما باید از این اطلاعات برای مقابله با خطراتی که زنجیره تأمین ممکن است برای سازمان‌های خودمان ایجاد کند، استفاده کنیم. تلاش برای بهبود زنجیره تأمین نرم‌افزار یک شرکت کوچک نیست. و این فقط یک مشکل فرآیند توسعه نرم‌افزار نیست: امنیت زنجیره تأمین نرم‌افزار مستلزم مشارکت همه طرف‌های زنجیره تأمین برای بهبود وضعیت امنیتی نرم‌افزار، میان‌افزار و سخت‌افزار است. در این کتاب، به شما نشان خواهم داد که چگونه یک برنامه امنیتی زنجیره تأمین نرم‌افزار را در سازمانی با هر اندازه‌ای، به ویژه برای شرکت‌های کوچکی که متخصصان امنیت برنامه یا زنجیره تأمین اختصاصی ندارند، پیاده‌سازی کنید. من توضیح خواهم داد که چرا هر کنترل امنیتی وجود دارد، بدون اینکه کسی برای درک خطرات امنیتی و دلایل کنترل‌ها به مدرک علوم کامپیوتر یا امنیت سایبری نیاز داشته باشد. این کتاب قرار نیست مجموعه‌ای جامع از کنترل‌ها باشد. می‌توانید هر کنترلی را که قابل اجرا نیست حذف کنید و کنترل‌های مورد نیاز خود را به چارچوب کنترل‌هایی که از قبل دارید اضافه کنید. من صدها مرجع برای کسانی که نیاز به پیروی از چارچوب‌ها، استانداردها، قوانین یا مقررات اجباری دارند، گنجانده‌ام. با این حال، باید به شما هشدار دهم که خود را به این چارچوب‌ها محدود نکنید. شما باید همیشه کنترل‌های خود را گسترش داده و تطبیق دهید تا با شکاف‌ها و خطرات فعلی در سازمان خود روبرو شوید. این کتاب برای هر کسی است که وظیفه امنیت اشخاص ثالث، زنجیره تأمین، خرید محصولات و برنامه‌های کاربردی برای سازمان خود، نرم‌افزار متن‌باز یا نرم‌افزار توسعه‌یافته در سازمان خود را بر عهده داشته است. ممکن است در عنوان خود «امنیت» داشته باشید یا نداشته باشید. هر کسی که انتخاب، تولید و بهره‌برداری از نرم‌افزار به او سپرده شده است، می‌تواند از این کتاب برای درک خطرات موجود در زنجیره تأمین نرم‌افزار و پیاده‌سازی کنترل‌ها و چارچوب‌ها استفاده کند. این کتاب نیازی به پیشینه امنیت سایبری ندارد، اگرچه برخی از حوزه‌ها از نظر توضیح فنی خواهند بود و منابع زیادی برای تشویق به یادگیری بیشتر ارائه شده است. من این مرجع کاربردی را برای درک رهبران کسب‌وکار و فناوری و همچنین افراد در سازمان‌های حقوقی، تدارکات، بیمه و زنجیره تأمین ایجاد کرده‌ام. این کتاب همچنین برای رهبران برنامه‌های امنیتی، چه در نقش CISO (مدیر ارشد امنیت اطلاعات)، CPSO (مدیر ارشد امنیت محصول)، CSO (مدیر ارشد امنیت)، GRC (مدیریت، ریسک و انطباق)، امنیت برنامه یا امنیت محصول است.

Software is everywhere. Trillions of lines of source code are running every part of our lives. A single software vulnerability or ransomware attack can stop entire companies from doing business and cause billions of dollars in revenue loss and business recovery. Now, more than ever, we need to ensure that our software, firmware, and hardware are secure to keep our world up and running, safely and securely. Malware, security vulnerabilities, application security, and product security are not new to the software industry, but now these topics have reached mainstream news because of the effects they have on everyone. My part in this became very real when I was visiting my family on the US East Coast the week of the Colonial Pipeline attack.1 I spent two hours waiting in line at the sole gas station within 20 miles that had gas, and then the rest of that afternoon explaining to my family about business continuity and supply chain attacks. Supply chains are critical to our lives. According to Investopedia, “a supply chain is a network of individuals and companies who are involved in creating a product and delivering it to the consumer.”2 The same is true for software. Software usually is developed by multiple individuals, who are often part of multiple organizations or companies. Over time, thousands of developers may have code inside of a single application. For example, I wrote code for ZSoft’s paint.exe, which was sold to Microsoft in the 1980s. I’m certain there are lines of my code still in existence within MS Paint on the Microsoft Windows platform. Nearly 40 years later, an untold number of developers have also contributed their talents to the small, but useful, application. Ensuring software security within the supply chain is difficult, usually due to the longevity of code that was written before secure development and secure design practices were in place. Combined with the ever-increasing threat actors who are constantly discovering new ways to exploit code and systems, it will always be difficult to guarantee a product or application’s security, but that should not prevent us from doing our absolute best to secure the software supply chain. Despite the complicated nature of the software supply chain, it is our duty as software producers to establish secure supply chains and provide information to our consumers. As consumers, we should use this information to address the risks that the supply chain might present to our own organizations. The effort to improve a company’s software supply chain is not small. And it’s not only a software development process problem: software supply chain security requires all parties in the supply chain to participate in order to improve the security posture of software, firmware, and hardware. In this book, I will show you how to implement a software supply chain security program in an organization of any size, but especially for small companies that don’t have dedicated application or supply chain security experts. I will explain why each security control exists, without someone needing a computer science or cybersecurity degree to understand the security risks and the reasons for the controls. This book is not intended to be an all-encompassing set of controls. You can remove any controls that are not applicable and add the controls you need to the controls framework you already have in place. I have included hundreds of references for those needing to follow mandated frameworks, standards, laws, or regulations. However, I must caution you to not limit yourself to those frameworks. You should always be extending and adapting your controls to meet the current gaps and risks within your organization. This book is for anyone who has been tasked with the security of third parties, the supply chain, the purchase of products and applications for their organization, open source software, or software developed within their organization. You may or may not have “security” in your title. Anyone entrusted with the selection, production, and operation of software can use this book to understand the risks in the software supply chain and to implement controls and frameworks. The book doesn’t require a cybersecurity background, though some areas will be technical in explanation, with many references to encourage further learning. I’ve created this practical reference to be understood by business and technology leaders, as well as those in the legal, procurement, insurance, and supply chain organizations. This book is also for security program leaders, whether in the role of CISO (chief information security officer), CPSO (chief product security officer), CSO (chief security officer), GRC (governance, risk, and compliance), application security, or product security.

این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:

Download: Software Supply Chain Security

مشاهده بیشتر

نظرات کاربران

  •  چنانچه دیدگاه شما توهین آمیز باشد تایید نخواهد شد.
  •  چنانچه دیدگاه شما جنبه تبلیغاتی داشته باشد تایید نخواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

مطالب تصادفی ماه گذشته

بیشتر بخوانید

آهنگ خارجی
کتب علمی
رمان انگلیسی
کتب عمومی

آموزش نقاشی سیاه قلم

بستن
X
آموزش ساز ویولن کانال ایتا