NIST 安全软件开发框架 1.1

指定每个工具链中必须或应包含哪些工具或工具类型，以减轻已识别的风险，以及工具链组件如何相互集成。示例：示例1：定义工具链类别，并指定每个类别必须使用的工具或工具类型。示例2：确定要集成到开发者工具链中的安全工具。示例 3：定义在工具之间传递的信息以及要使用的数据格式。示例 4：评估工具的签名能力，以在工具链中创建不可更改的记录/日志，以便审计。示例 5：使用自动化技术进行工具链管理和编排。参考资料：BSIMM：CR1.4, ST1.4, ST2.5, SE2.7 CNCFSSCP：保护材料——验证；保护构建流水线——验证、自动化、安全认证/访问；保护工件——验证；保护部署——验证 EO14028: 4e(iii), 4e(ix) MSSDL: 8 OWASPSAMM: IR2-B, ST2-B SCAGILE: 需要安全专家协助的任务 9 SCSIC: 供应商软件交付完整性控制 SP80053: SA-15 SP800161: SA-15 SP800181: K0013, K0178

遵循推荐的安全实践来部署、操作和维护工具及工具链。示例：示例 1：评估、选择并获取工具，并评估每个工具的安全性。示例 2：将工具与其他工具以及现有的软件开发流程和工作流集成。示例 3：对工具链使用基于代码的配置（例如，作为代码的流水线、作为代码的工具链）。示例 4：实施实现可重现构建所需的技术和流程。 示例 5：根据需要更新、升级或更换工具，以解决工具漏洞或增加新的工具功能。 示例 6：持续监控工具及工具日志，以发现潜在的操作和安全问题，包括政策违规和异常行为。示例 7：定期验证每个工具的完整性并检查其来源，以识别潜在问题。示例 8：关于编译器、解释器和构建工具，请参见 PW.6。示例 9：关于实施和维护安全环境，请参见 PO.5。参考文献：BSAFSS: DE.2 BSIMM: SR1.1, SR1.3, SR3。4 CNCFSSCP：保护构建流水线——验证、自动化、受控环境、安全认证/访问；保护制品——验证、自动化、受控环境、加密；保护部署——验证、自动化 EO14028：4e(i)(F)、4e(ii)、4e(iii)、4e(v)、4e(vi)、4e(ix) IEC62443：SM-7 IR8397：2.2 OWASP ASVS：1.14.3、1.14.4、14.1、14.2 OWASP MASVS：7.9 OWASPSCVS: 3, 5 SCAGILE: 需要安全专家协助的任务 9 SCFPSSD: 使用当前的编译器和工具链版本并启用安全编译器选项 SCSIC: 供应商软件交付完整性控制 SP80053: SA-15 SP800161: SA-15 SP800181: K0013, K0178

配置工具以生成其对组织定义的安全软件开发实践支持的成果。例如：示例 1：使用现有工具（例如，工作流跟踪、问题跟踪、价值流映射）创建一个安全开发相关操作的审计轨迹，以用于持续改进。示例 2：确定收集的信息应多久审核一次，并实施必要的流程。示例 3：建立并执行工件数据的安全和保留政策。示例 4：分配创建工具无法生成的任何所需工件的责任。参考文献：BSAFSS：PD.1-5 BSIMM：SM1.4, SM3.4, SR1。3 CNCFSSCP：保护构建管道——验证、自动化、受控环境；保护工件——验证 EO14028：4e(i)(F)、4e(ii)、4e(v)、4e(ix) IEC62443：SM-12、SI-2 MSSDL：8 OWASPSAMM：PC3-B OWASPSCVS：3.13、3.14 PCISSLC：2.5 SCAGILE：需要安全专家协助的任务 9 SCSIC：供应商软件交付完整性控制 SP80053：SA-15 SP800161：SA-15 SP800181：K0013；T0024