book

Segurança da cadeia de fornecimento de software

by Cassie Crossley

March 2025

Intermediate to advanced

244 pages

7h 44m

Portuguese (Portugal, Brazil)

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

Quem deve ler este livroPorque escrevi este livroComo navegar neste livroConvenções utilizadas neste livroAprendizagem em linha da O'ReillyComo contactar-nosAgradecimentos
Definições de cadeia de fornecimentoImpactos na segurança da cadeia de fornecimento de softwareRequisitos, leis, regulamentos e diretivasResumo
Quadros de gestão do risco tecnológicoNIST SP 800-37 Estrutura de Gestão de Riscos (RMF)ISO 31000:2018 Gestão do riscoObjectivos de Controlo para a Informação e Tecnologias Relacionadas (COBIT®) 2019Quadro de Cibersegurança do NIST (CSF)Quadros e normas da cadeia de abastecimentoNIST SP 800-161 Gestão do risco da cadeia de fornecimento de cibersegurança para sistemas e organizaçõesQuadro de garantia de fornecedores do Reino UnidoEstrutura do MITRE System of Trust™ (SoT)ISO/IEC 20243-1:2023 Norma de fornecedor de tecnologia de confiança abertaNorma de Segurança da Cadeia de Fornecimento SCS 9001ISO 28000:2022 Segurança e ResiliênciaISO/IEC 27036 Segurança da informação para relações com fornecedoresResumo das considerações sobre o quadro e as normasResumo
Ambientes de desenvolvimentoRepositórios de código e plataformas de compilaçãoFerramentas de desenvolvimentoLaboratórios e ambientes de testeAmbientes de pré-produção e produçãoLocais de distribuição e implantação de softwareAmbientes de fabrico e cadeia de fornecimentoPreparação do cliente para testes de aceitaçãoSistemas e ferramentas de serviçoResumo
Elementos-chave de um SDLRequisitos de segurançaDesign seguroDesenvolvimento seguroTeste de segurançaGestão de vulnerabilidadesAumentar um SDLC com SDLISA/IEC 62443-4-1 Ciclo de vida de desenvolvimento seguroNIST SSDFMicrosoft SDLSegurança de aplicações ISO/IEC 27034Código SAFECConsiderações sobre SDL para IoT, OT e sistemas incorporadosMétricas de segurança de produtos e aplicaçõesResumo
Tipos de código fonteCódigo abertoComercialProprietárioSistemas operativos e estruturasBaixo-código/nenhum-códigoCódigo fonte da IA generativaQualidade do códigoNormas de codificação seguraTecnologias de análise de softwareRevisões de códigoIntegridade do código fonteGestão da mudançaCódigo fonte fiávelDependências de confiançaGestão de edifíciosAutenticação e autorizaçãoScripts de compilação e automaçãoRepetibilidade e ReprodutibilidadeAssinatura de códigoGestão da implementaçãoResumo
Estruturas, controlos e avaliações CloudSistemas de gestão da segurança da informação ISO/IEC 27001Cloud Security Alliance CCM e CAIQPrograma STAR da Cloud Security AllianceInstituto Americano de CPAs SOC 2FedRAMP dos EUAConsiderações e requisitos de segurança na CloudDevSecOpsGestão de alterações para a CloudConceção e desenvolvimento seguros para aplicações CloudSegurança da APITestesImplementação de infra-estruturas e aplicações imutáveisProteger as ligaçõesFuncionamento e monitorizaçãoEngenharia de fiabilidade do sítioResumo
Classificação de dadosPessoasTecnologiaSegurança dos dadosPerda de códigos, chaves e segredosFalhas de conceçãoErros de configuraçãoInterfaces de programação de aplicações (APIs)VulnerabilidadesResumo
Casos de utilização de transparência de softwareLista de materiais de software (SBOM)Formatos SBOMElementos SBOMLimitações da SBOMLista de materiais adicional (BOMs)Divulgação de vulnerabilidadesAbordagens de transparência adicionaisFormulário comum de atestado de desenvolvimento de software seguro da CISA dos EUAIntegridade, Transparência e Confiança na Cadeia de Fornecimento (SCITT)Lista de Materiais Digital e Mecanismos de PartilhaGráfico de compreensão da composição de artefactos (GUAC)Atestado In-TotoProveniência de softwarePráticas e tecnologiaResumo

Avaliações cibernéticasRespostas de avaliaçãoPesquisaSegurança informática, incluindo segurança ambientalOrganização da Segurança de Produtos/AplicaçõesProcessos de segurança de produtos e ciclo de vida de desenvolvimento seguroFormaçãoDesenvolvimento seguro e testes de segurançaGestão de compilações, DevSecOps e gestão de lançamentosAnálise, gestão de vulnerabilidades, correção e SLAsAplicações e ambientes CloudServiços de desenvolvimentoFabricoAcordos, contratos e adendas cibernéticosGestão contínua de fornecedoresMonitorizaçãoComentários de fornecedoresDireito de Auditoria e AvaliaçãoResumo
Segurança dos fornecedores e da produçãoConfigurações de segurança de equipamentos, sistemas e Network+Segurança físicaIntegridade do código, do software e do firmwareTestes de integridadeFalsificaçõesCadeia de custódiaMedidas de proteção do dispositivoInfraestrutura de chave pública (PKI) do firmwareRaiz de confiança do hardwareArranque seguroElemento seguroAutenticação do dispositivoResumo
Estruturas organizacionais de cibersegurançaCampeões da segurançaSensibilização e formação em cibersegurançaEquipa de desenvolvimentoCiclo de vida de desenvolvimento seguro (SDL)Gestão do código fonteDevSecOps e CloudEventos de captura da bandeiraFornecedores terceirosFabrico e distribuiçãoProjectos de clientes e serviços no terrenoUtilizadores finaisResumo
Controlos de segurança das infra-estruturasControlos do ciclo de vida do desenvolvimento seguroControlos de código fonte, compilação e implementaçãoControlos CloudPropriedade intelectual e controlos de dadosControlos de transparência de softwareControlos de fornecedoresControlos de segurança do fabrico e dos dispositivosControlos de pessoas

Overview

Este trabalho foi traduzido com recurso a IA. Agradecemos o teu feedback e comentários: translation-feedback@oreilly.com

Triliões de linhas de código ajudam-nos nas nossas vidas, empresas e organizações. Mas apenas uma única vulnerabilidade de cibersegurança de software pode impedir empresas inteiras de fazer negócios e causar milhares de milhões de dólares em perda de receitas e recuperação de negócios. Proteger a criação e a implementação de software, também conhecida como segurança da cadeia de fornecimento de software, vai muito além do processo de desenvolvimento de software.

Este livro prático dá-te uma visão abrangente dos riscos de segurança e identifica os controlos práticos que precisas de incorporar na tua cadeia de fornecimento de software de ponta a ponta. A autora Cassie Crossley demonstra como e porquê todos os envolvidos na cadeia de fornecimento precisam de participar se a sua organização quiser melhorar a postura de segurança do seu software, firmware e hardware.

Com este livro, aprenderás a:

Identificar os riscos de segurança cibernética em cada parte da cadeia de fornecimento de software da sua organização
Identificar as funções que participam na cadeia de fornecimento - incluindo TI, desenvolvimento, operações, fabrico e aprovisionamento
Concebe iniciativas e controlos para cada parte da cadeia de fornecimento utilizando estruturas e referências existentes
Implementa o ciclo de vida de desenvolvimento seguro, a segurança do código fonte, a gestão de construção de software e as práticas de transparência de software
Avaliar o risco de terceiros na tua cadeia de fornecimento