NIST 安全软件开发框架 1.1
控制项模式NIST SSDF v1.1 从官方可机读的 SSDF 表格工作簿中提取。
安全地归档每个软件版本需要保留的必要文件和支持数据(例如,完整性验证信息、来源数据)。示例:示例 1:按照组织既定的政策,将发布文件、相关图像等存储在仓库中。仅允许必要的人员以只读方式访问,其他人不得访问。示例 2:存储和保护发布完整性验证信息和来源数据,例如将其保存在与发布文件分开的位置或对数据进行签名。参考资料:BSAFSS: PD.1-5, DE.1-2, IA.2 CNCFSSCP: 保护工件—自动化、受控环境、加密;部署安全——验证 EO14028: 4e(iii), 4e(vi), 4e(ix), 4e(x) IDASOAR: 25 IEC62443: SM-6, SM-7 NISTCSF: PR.IP-4 OWASPSCVS: 1, 3.18, 3.19, 6.3 PCI SSLC: 5.2, 6.1, 6.2 SCSIC: 供应商软件交付完整性控制 SP80053: SA-10, SA-15, SA-15(11), SR-4 SP800161: SA-8, SA-10, SA-15(11), SR-4
收集、保护、维护并共享每个软件版本所有组件的来源数据(例如,在软件物料清单 [SBOM] 中)。示例:示例 1:根据组织的政策向软件获取者提供来源数据,最好使用基于标准的格式。示例 2:向组织的运营和响应团队提供来源数据,以帮助他们缓解软件漏洞。 示例 3:保护来源数据的完整性,并提供一种方法让接收方验证来源数据的完整性。 示例 4:每当软件的任何组件更新时,更新来源数据。 参考文献:BSAFSS: SM.2 BSIMM: SE3。6 CNCFSSCP:材料安全——验证、自动化 EO14028:4e(vi)、4e(vii)、4e(ix)、4e(x) NTIA SBOM:全部 OWASP SCVS:1.4、2 SCSIC:供应商软件交付完整性控制 SCTPC:维护3 SP80053:SA-8、SR-3、SR-4 SP800161:SA-8、SR-3、SR-4