NIST 安全软件开发框架 1.1
控制项模式NIST SSDF v1.1 从官方可机读的 SSDF 表格工作簿中提取。
定义软件安全检查的标准,并在整个软件开发生命周期中跟踪。示例:示例1:确保这些标准能够充分表明安全风险管理的效果。示例2:定义关键绩效指标(KPI)、关键风险指标(KRI)、漏洞严重性评分及其他软件安全的衡量指标。示例3:将软件安全标准添加到现有的检查中(例如,敏捷软件开发生命周期方法中的“完成定义”)。示例4:审查作为软件开发工作流系统一部分生成的工件,以确定它们是否符合标准。示例5:在工作流和跟踪系统中记录安全检查的批准、拒绝和例外请求。示例 6:在每个开发项目的安全成功与失败的背景下分析收集的数据,并利用结果改进 SDLC。参考文献:BSAFSS:TV.2-1,TV.5-1 BSIMM:SM1.4,SM2.1,SM2.2,SM2.6,SM3.3,CP2.2 EO14028:4e(iv),4e(v),4e(ix) IEC62443:SI-1,SI-2,SVV-3 ISO27034:7.3.5 MSSDL:3 OWASPSAMM:PC3-A,DR3-B,IR3-B,ST3-B PCISSLC:3.3 SP80053:SA-15,SA-15(1) SP800160:3.2.1,3。2.5, 3.3.1 SP800161:SA-15, SA-15(1) SP800181:K0153, K0165
实施流程、机制等,以收集和保护支持标准所需的信息。示例:示例 1:使用工具链自动收集能够为安全决策提供信息的数据。示例 2:如果需要,部署额外的工具以支持生成和收集支持标准的信息。示例 3:利用标准自动化决策过程,并定期审查这些过程。 示例 4:仅允许授权人员访问收集的信息,并防止任何信息的更改或删除。 参考资料: BSAFSS: PD.1-4, PD.1-5 BSIMM: SM1.4, SM2.1, SM2.2, SM3.4 EO14028: 4e(iv), 4e(v), 4e(ix) IEC62443: SI-1, SVV-1, SVV-2, SVV-3, SVV-4 OWASPSAMM: PC3-B PCISSLC: 25 SCSIC:供应商软件交付完整性控制 SP80053:SA-15, SA-15(1), SA-15(11) SP800160:3.2.5, 3.3.7 SP800161:SA-15, SA-15(1), SA-15(11) SP800181:T0349;K0153