NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

二进制或机器可执行代码适用于所有二进制或机器可执行代码的来源，包括商业软件、固件和开源软件。组织在没有附带源代码或来源有限或没有保证的软件产品上，会评估潜在的安全影响。评估指出，没有提供源代码的软件产品可能难以进行审查、修复或扩展。此外，可能没有任何负责人代表组织进行这些修复。如果使用开源软件，评估则指出其可能没有任何保证，开源软件可能包含后门或恶意软件，并且可能没有可用的支持。