Книга «Прозрачное программное обеспечение» рассматривает безопасность цепочек поставок ПО, которая становится все более уязвимой к атакам. Особое внимание уделяется уязвимостям, возникающим из-за сложности современных IT-инфраструктур и взаимосвязанности компонентов. Приводятся примеры крупных инцидентов, таких как SolarWinds и Log4j, чтобы продемонстрировать масштаб проблемы.
Основным инструментом повышения прозрачности ПО является SBOM (Software Bill of Materials), который представляет собой перечень программных компонентов и их зависимостей. В книге описывается эволюция SBOM, включая государственные и промышленные инициативы, направленные на его внедрение. Рассматриваются сложности, связанные с различными типами кода, включая открытый, проприетарный и встраиваемый, а также проблемы прозрачности в облачных технологиях и контейнеризации, включая SaaSBOM.
В книге обсуждаются руководства и рекомендации для государственного и частного секторов, посвященные обеспечению прозрачности и безопасности программного обеспечения. Рассматриваются фреймворки и стандарты, такие как CNCF Software Supply Chain Best Practices, Microsoft S2C2F и OWASP Software Component Verification Standard. Также анализируется руководство по безопасности цепочек поставок ПО, разработанное NSA, CISA и ODNI, предназначенное для разработчиков, поставщиков и потребителей. Отдельное внимание уделено проблемам прозрачности ПО в операционных технологиях и в критических инфраструктурах.
Последние главы содержат практические рекомендации для поставщиков и потребителей ПО, включая управление уязвимостями, создание команд реагирования на инциденты и принятие решений в условиях ограниченных ресурсов. Книга завершается обсуждением будущих тенденций, таких как развитие нормативных актов и рост атак на цепочки поставок, а также взаимосвязанности IoT-устройств, подчеркивая важность осознания и решения этих проблем в динамично развивающемся мире информационных технологий.
Изображение носит иллюстративный характер
Основным инструментом повышения прозрачности ПО является SBOM (Software Bill of Materials), который представляет собой перечень программных компонентов и их зависимостей. В книге описывается эволюция SBOM, включая государственные и промышленные инициативы, направленные на его внедрение. Рассматриваются сложности, связанные с различными типами кода, включая открытый, проприетарный и встраиваемый, а также проблемы прозрачности в облачных технологиях и контейнеризации, включая SaaSBOM.
В книге обсуждаются руководства и рекомендации для государственного и частного секторов, посвященные обеспечению прозрачности и безопасности программного обеспечения. Рассматриваются фреймворки и стандарты, такие как CNCF Software Supply Chain Best Practices, Microsoft S2C2F и OWASP Software Component Verification Standard. Также анализируется руководство по безопасности цепочек поставок ПО, разработанное NSA, CISA и ODNI, предназначенное для разработчиков, поставщиков и потребителей. Отдельное внимание уделено проблемам прозрачности ПО в операционных технологиях и в критических инфраструктурах.
Последние главы содержат практические рекомендации для поставщиков и потребителей ПО, включая управление уязвимостями, создание команд реагирования на инциденты и принятие решений в условиях ограниченных ресурсов. Книга завершается обсуждением будущих тенденций, таких как развитие нормативных актов и рост атак на цепочки поставок, а также взаимосвязанности IoT-устройств, подчеркивая важность осознания и решения этих проблем в динамично развивающемся мире информационных технологий.
