NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

修复系统缺陷的需求适用于所有类型的软件和固件。组织会识别受软件缺陷影响的系统，包括这些缺陷可能带来的潜在漏洞，并将这些信息报告给负责信息安全和隐私的指定组织人员。与安全相关的更新包括补丁、服务包和恶意代码签名。组织还会处理在评估、持续监控、事件响应活动以及系统错误处理过程中发现的缺陷。通过将缺陷修复纳入配置管理流程，可以跟踪和验证所需的修复措施。组织定义的用于更新与安全相关的软件和固件的时间周期可能会因多种风险因素而有所不同，包括系统的安全类别、更新的重要性（即与发现的漏洞相关的漏洞严重性）、组织的风险承受能力、系统支持的任务或威胁环境。某些类型的缺陷修复可能比其他类型需要更多的测试。组织会根据所考虑的具体缺陷修复活动类型以及需要进行配置管理的更改类型，来确定所需的测试类型。在某些情况下，组织可能会认为对软件或固件更新进行测试是不必要或不切实际的，例如在实施简单的恶意代码签名更新时。在做出测试决定时，组织会考虑安全相关的软件或固件更新是否来自具有适当数字签名的授权来源。