NIST 安全软件开发框架 1.1
控制项模式NIST SSDF v1.1 从官方可机读的 SSDF 表格工作簿中提取。
使用各种风险建模方法——例如威胁建模、攻击建模或攻击面映射——来帮助评估软件的安全风险。示例:示例 1:培训开发团队(特别是安全负责人),或与风险建模专家合作,创建模型并分析如何使用基于风险的方法来传达风险,并确定如何应对这些风险,包括实施缓解措施。示例2:对高风险区域进行更严格的评估,例如保护敏感数据以及保障身份验证、认证和访问控制,包括凭证管理。示例3:审查以前软件的漏洞报告和统计数据,以为安全风险评估提供参考。示例4:使用数据分类方法来识别和描述软件将交互的每种类型的数据。参考文献:BSAFSS:SC.1 BSIMM:AM1.2, AM1.3, AM1.5, AM2.1, AM2.2, AM2.5, AM2.6, AM2.7, SFD2.2, AA1.1, AA1.2, AA1.3, AA2.1 EO14028:4e(ix) IDASOAR:1 IEC62443:SM-4, SR-1, SR-2, SD-1 IR8397:2.1 ISO27034:7.3.3 MSSDL:4 NISTCSF:ID.RA OWASPASVS:1.1.2, 1.2, 1.4, 1.6, 1.8, 1.9, 1.11, 2, 3, 4, 6, 8, 9, 11, 12, 13 OWASPMASVS: 1.6, 1.8, 2, 3, 4, 5, 6 OWASPSAMM: TA1-A, TA1-B, TA3-B, DR1-A PCISSLC: 3.2, 3.3 SCAGILE: 需要安全专家帮助的任务 3 SCFPSSD: 威胁建模 SCTTM: 全部指南 SP80053: SA-8, SA-11(2), SA-11(6), SA-15(5) SP800160: 3.3.4, 3.4.5 SP800161: SA-8, SA-11(2), SA-11(6), SA-15(5) SP800181: T0038, T0062;K0005, K0009, K0038, K0039, K0070, K0080, K0119, K0147, K0149, K0151, K0152, K0160, K0161, K0162, K0165, K0297, K0310, K0344, K0362, K0487, K0624;S0006, S0009, S0022, S0078, S0171, S0229, S0248;A0092, A0093, A0107
跟踪并维护软件的安全需求、风险和设计决策。示例:示例 1:记录对每个风险的应对措施,包括如何实现缓解措施以及对任何获批的安全需求例外的理由。将任何缓解措施添加到软件的安全需求中。示例 2:保存设计决策、风险响应和已批准的例外记录,这些记录可在软件生命周期的其余阶段用于审计和维护。示例 3:定期重新评估所有已批准的安全性需求例外,并根据需要实施变更。参考文献:BSAFSS: SC.1-1, PD.1-1 BSIMM: SFD3.1, SFD3.3, AA2.2, AA3.2 EO14028: 4e(v), 4e(ix) IEC62443: SD-1 ISO27034: 7.3.3 MSSDL: 4 NISTLABEL: 2.2.2.2 OWASPASVS: 1.1.3, 1.1.4 OWASPMASVS: 1.3, 1.6 OWASPSAMM: DR1-B PCISSLC: 3.2, 3.3 SP80053: SA-8, SA-10, SA-17 SP800161: SA-8, SA-17 SP800181: T0256;K0005, K0038, K0039, K0147, K0149, K0160, K0161, K0162, K0165, K0344, K0362, K0487;S0006, S0009, S0078, S0171, S0229, S0248;A0092, A0107
在适当的情况下,应支持使用标准化的安全功能和服务(例如,使软件能够与现有的日志管理、身份管理、访问控制和漏洞管理系统集成),而不是创建专有的安全功能和服务实现。[原PW.4]3] 示例: 示例 1:维护一个或多个用于支持标准化安全功能和服务的模块的软件仓库。 示例 2:确定用于支持标准化安全功能和服务的模块的安全配置,并使这些配置可用(例如,作为配置即代码),以便开发人员可以方便地使用它们。示例 3:定义软件开发中必须支持的安全功能和服务的标准。参考文献:BSAFSS:SI.2-1、SI.2-2、LO.1;BSIMM:SFD1.1、SFD2.1、SFD3.2、SR1.1、SR3.4;EO14028:4e(ix);IEC62443:SD-1、SD-4;MSSDL:5;OWASP ASVS:1.1.6;OWASP SAMM:SA2-A;SCFPSSD:标准化身份与访问管理;建立日志要求和审计实践
请由 1) 未参与设计的合格人员(或多人)和/或 2) 在工具链中实现的自动化流程对软件设计进行审查,以确认并确保其满足所有安全要求,并妥善处理已识别的风险信息。示例:示例 1:审查软件设计,以确认其符合适用的安全要求。示例2:审查在软件设计过程中创建的风险模型,以确定它们是否能够充分识别风险。示例3:审查软件设计,以确认其是否充分应对风险模型中识别的风险。示例4:让软件设计人员纠正未达到要求的部分。示例5:如果无法满足安全要求,请更改设计和/或风险应对策略。 示例6:记录设计评审的发现,以作为工件(例如,在软件规范中、在问题跟踪系统中、在威胁模型中)。 参考文献: BSAFSS: TV.3 BSIMM: AA1.1, AA1.2, AA1.3, AA2.1, AA3.1 EO14028: 4e(iv), 4e(v), 4e(ix) IEC62443: SM-2, SR-2, SR-5, SD-3, SD-4, SI-2 ISO27034: 73.3 OWASPASVS: 1.1.5 OWASPSAMM: DR1-A, DR1-B PCISSLC: 3.2 SP800181: T0328;K0038, K0039, K0070, K0080, K0119, K0152, K0153, K0161, K0165, K0172, K0297;S0006, S0009, S0022, S0036, S0141, S0171
获取并维护安全可靠的软件组件(例如,软件库、模块、中间件、框架),这些组件来自商业、开源及其他第三方开发者,以供组织的软件使用。示例:示例1:在其预期使用的背景下审核和评估第三方软件组件。如果将来组件要以明显不同的方式使用,请在新的上下文下再次进行审查和评估。示例2:确定软件组件的安全配置,并将其提供出来(例如,以代码形式的配置),以便开发人员可以方便地使用这些配置。示例3:获取来源信息(例如。每个软件组件都进行 SBOM、源代码组成分析、二进制软件组成分析,并分析这些信息以更好地评估组件可能带来的风险。示例 4:建立一个或多个软件仓库,以托管经过批准和审查的开源组件。示例5:维护一份组织批准的商业软件组件及其组件版本的清单,并附上其来源数据。 示例6:指定哪些组件必须包含在要开发的软件中。示例7:实施流程,以将已部署的软件组件更新到新版本,并在所有从这些版本的迁移成功完成之前,保留旧版本的软件组件。 示例8:如果无法确认所获取的二进制文件的完整性或来源,则在验证源代码的完整性和来源后,从源代码构建二进制文件。 参考文献:BSAFSS: SM。2 BSIMM: SFD2.1, SFD3.2, SR2.4, SR3.1, SE3.6 CNCFSSCP: 材料安全—验证 EO14028: 4e(iii), 4e(vi), 4e(ix), 4e(x) IDASOAR: 19 IEC62443: SM-9, SM-10 MSSDL: 6 NISTCSF: ID.SC-2 OWASPASVS: 1.1.6 OWASPSAMM: SA1-A OWASPSCVS: 4 SCSIC: 供应商采购完整性控制 SCTPC: 维护 SP80053: SA-4, SA-5, SA-8(3), SA-10(6), SR-3, SR-4 SP800161: SA-4, SA-5, SA-8(3), SA-10(6), SR-3, SR-4 SP800181: K0039
按照软件开发生命周期(SDLC)流程,在内部创建和维护安全性良好的软件组件,以满足无法通过第三方软件组件更好满足的常见内部软件开发需求。例如:示例 1:在创建和维护组件时,遵循组织制定的安全实践,以实现安全的软件开发。示例 2:确定软件组件的安全配置,并使其可用(例如,作为配置即代码),以便开发人员可以轻松使用这些配置。示例 3:为这些组件维护一个或多个软件仓库。示例 4:指定必须包含在待开发软件中的组件。示例5:实施流程以将已部署的软件组件更新到较新版本,并在所有从这些版本的过渡成功完成之前,维护软件组件的旧版本。参考资料:BSIMM:SFD1.1, SFD2.1, SFD3.2, SR1.1 EO14028:4e(ix) IDASOAR:19 OWASPASVS:1.1.6 SCTPC:MAINTAIN SP80053:SA-8(3) SP800161:SA-8(3) SP800181:SP-DEV-001
验证所获取的商业、开源及所有其他第三方软件组件在其整个生命周期内是否符合组织定义的要求。例如:示例 1:定期检查供应商尚未修复的软件模块和服务中是否存在公开已知的漏洞。示例2:在工具链中构建对软件组件已知漏洞的自动检测。示例3:使用商业服务的现有结果来审查软件模块和服务。示例4:确保每个软件组件仍在积极维护中且未达到生命周期终点;这应包括对被修复软件中新发现的漏洞。示例 5:为每个不再维护或在不久的将来无法使用的软件组件制定行动计划。示例 6:通过数字签名或其他机制确认软件组件的完整性。示例 7:审查、分析和/或测试代码。参见 PW.7 和 PW.8。参考文献:BSAFSS: SC.3-1, SM.2-1, SM.2-2, SM.2-3, TV.2, TV.3 BSIMM: CP3.2, SR2.4, SR3.1, SR3.2, SE2.4, SE3.6 CNCFSSCP:材料安全——验证,自动化 EO14028:4e(iii)、4e(iv)、4e(vi)、4e(ix)、4e(x) IDASOAR:21 IEC62443:SI-1、SM-9、SM-10、DM-1 IR8397:2.11 MSSDL:7 NISTCSF:ID.SC-4、PR.DS-6 NISTLABEL:2.2.2.2 OWASPASVS:10、14.2 OWASPMASVS:7.5 OWASPSAMM:TA3-A、SR3-B OWASPSCVS:4、5、6 PCISSLC:3.2、3.4、4.1 SCAGILE:需要安全专家协助的任务 8 SCFPSSD:管理使用第三方组件固有的安全风险 SCSIC:供应商采购完整性控制、同行评审和安全测试 SCTPC:维护、评估 SP80053:SA-9, SR-3, SR-4, SR-4(3), SR-4(4) SP800160:3.1.2, 3.3.8 SP800161:SA-4, SA-8, SA-9, SA-9(3), SR-3, SR-4, SR-4(3), SR-4(4) SP800181:SP-DEV-002; K0153, K0266; S0298
遵循所有适用于开发语言和环境的安全编码实践,以满足组织的要求。例如:示例1:验证所有输入,并验证和正确编码所有输出。示例2:避免使用不安全的函数和调用。示例3:检测错误,并优雅地处理它们。示例4:提供日志记录和追踪功能。示例 5:使用带有自动化功能的开发环境,这些功能鼓励或要求使用安全编码实践,并提供即时在位培训。示例 6:当自动化方法不足或不可用时,遵循手动确保符合安全编码实践的程序。示例 7:使用工具(例如,代码检查工具、格式化工具)来标准化源代码的风格和格式。示例 8:检查开发语言和环境中常见的其他漏洞。示例 9:让开发人员审查他们自己的可读代码,以补充(而不是替代)其他人或工具执行的代码审查。参见 PW.7。参考文献:BSAFSS: SC.2, SC.3, LO.1, EE.1 BSIMM: SR3.3, CR1.4, CR3.5 EO14028: 4e(iv), 4e(ix) IDASOAR: 2 IEC62443: SI-1, SI-2 ISO27034: 7.3.5 MSSDL: 9 OWASPASVS: 1.1.7, 1.5, 1.7, 5, 7 OWASPMASVS: 7.6 SCFPSSD: 建立日志要求和审计实践,使用代码分析工具早期发现安全问题,安全处理数据,处理错误,仅使用安全函数 SP800181: SP-DEV-001;T0013, T0077, T0176;K0009, K0016, K0039, K0070, K0140, K0624;S0019, S0060, S0149, S0172, S0266;A0036, A0047
使用提供功能以提高可执行文件安全性的编译器、解释器和构建工具。示例:示例1:使用最新版本的编译器、解释器和构建工具。示例2:在部署或更新编译器、解释器和构建工具时遵循变更管理流程,并审计所有工具的意外更改。示例 3:定期验证编译器、解释器和构建工具的真实性和完整性。参见 PO.3。参考资料:BSAFSS:DE.2-1 BSIMM:SE2。4 CNCFSSCP:保障构建流水线安全—验证、自动化 EO14028:4e(iv)、4e(ix) IEC62443:SI-2 MSSDL:8 SCAGILE:运营安全任务 3 SCFPSSD:使用当前编译器和工具链版本并确保编译器选项安全 SCSIC:供应商软件开发完整性控制 SP80053:SA-15 SP800161:SA-15
确定应使用哪些编译器、解释器和构建工具功能,以及如何配置每一项功能,然后实施并使用批准的配置。示例:示例 1:在编译过程中启用会对安全性差的代码发出警告的编译器功能。示例 2:实现“干净构建”概念,将所有编译器警告视为错误并消除,除非被确定为误报或无关警告。示例 3:在专门的、高度受控的构建环境中执行所有构建。示例 4:启用编译器功能,这些功能可以随机化或混淆执行特性,例如内存位置的使用,否则这些特性是可预测的,从而可能被利用。 示例 5:进行测试以确保这些功能按预期工作,并且不会意外引发任何操作问题或其他问题。 示例 6:持续验证所批准的配置是否正在使用。示例 7:将已批准的工具配置以代码化配置的形式提供,以便开发人员可以方便地使用它们。参考资料:BSAFSS:DE.2-3,DE.2-4,DE.2-5 BSIMM:SE2.4,SE3.2 CNCFSSCP:构建管道安全—验证,自动化 EO14028:4e(iv),4e(ix) IEC62443:SI-2 IR8397:2.5 MSSDL:8 OWASP ASVS:14.1,14.2.1 OWASP MASVS:7.2 PCI SSLC:3。2 SCAGILE:操作安全任务 8 SCFPSSD:使用当前的编译器和工具链版本以及安全编译器选项 SCSIC:供应商软件开发完整性控制 SP80053:SA-15, SR-9 SP800161:SA-15, SR-9 SP800181:K0039, K0070
确定是否应使用代码审查(由人工直接查看代码以发现问题)和/或代码分析(使用工具以完全自动或与人工结合的方式发现代码中的问题),根据组织的定义进行。示例:示例 1:遵循组织的政策或指南,确定何时应进行代码审查以及如何进行代码审查。这可能包括第三方代码以及内部编写的可重用代码模块。示例 2:遵循组织的政策或指南,确定何时应进行代码分析以及如何进行分析。示例 3:根据软件的开发阶段选择代码审查和/或分析方法。参考文献:BSIMM: CR1.5 EO14028: 4e(iv), 4e(ix) IEC62443: SM-5, SI-1, SVV-1 NISTLABEL: 2.2.2.2 SCSIC:同行评审和安全测试 SP80053:SA-11 SP800161:SA-11 SP800181:SP-DEV-002;K0013, K0039, K0070, K0153, K0165;S0174
根据组织的安全编码标准执行代码审查和/或代码分析,并在开发团队的工作流程或问题跟踪系统中记录和分类所有发现的问题及推荐的整改措施。 示例: 示例 1:对代码进行同行评审,并将任何现有的代码审查、分析或测试结果作为同行评审的一部分进行审核。示例 2:使用专家审查员检查代码是否存在后门或其他恶意内容。示例 3:使用能够促进同行审查过程的同行评审工具,并记录所有讨论和其他反馈。示例 4:使用静态分析工具自动检查代码的漏洞及其是否符合组织的安全编码标准,由人工对工具报告的问题进行审核并在必要时进行修复。 示例 5:使用审核清单来验证代码是否符合要求。示例 6:使用自动化工具持续识别并修复已记录和验证的不安全软件实践,同时将可读代码提交到代码仓库。示例 7:识别并记录发现问题的根本原因。示例 8:将代码审查和分析中获得的经验教训记录在开发人员可以访问和搜索的 Wiki 中。参考文献:BSAFSS: TV.2, PD.1-4 BSIMM: CR1。2, CR1.4, CR1.6, CR2.6, CR2.7, CR3.4, CR3.5 EO14028: 4e(iv), 4e(v), 4e(ix) IDASOAR: 3, 4, 5, 14, 15, 48 IEC62443: SI-1, SVV-1, SVV-2 IR8397: 2.3, 2.4 ISO27034: 7.3.6 MSSDL: 9, 10 NISTLABEL: 2.2.2.2 OWASPASVS: 1.1.7, 10 OWASPMASVS: 7.5 OWASPSAMM: IR1-B, IR2-A, IR2-B, IR3-A PCISSLC: 3.2, 4.1 SCAGILE: 运营安全任务 4, 7;需要安全专家帮助的任务 10 SCFPSSD:使用代码分析工具提前发现安全问题,使用静态分析安全测试工具,执行安全功能/缓解措施的手动验证 SCSIC:同行评审和安全测试 SP80053:SA-11, SA-11(1), SA-11(4), SA-15(7) SP800161:SA-11, SA-11(1), SA-11(4), SA-15(7) SP800181:SP-DEV-001, SP-DEV-002;T0013, T0111, T0176, T0267, T0516;K0009, K0039, K0070, K0140, K0624;S0019, S0060, S0078, S0137, S0149, S0167, S0174, S0242, S0266;A0007, A0015, A0036, A0044, A0047
确定是否应执行可执行代码测试,以发现以前的审查、分析或测试未识别的漏洞,如果需要,应使用哪种类型的测试。示例:示例 1:遵循组织的政策或指南,确定何时应进行代码测试以及如何进行测试(例如,在沙箱环境中)。这可能包括第三方可执行代码以及内部开发的可重用可执行代码模块。示例 2:根据软件的阶段选择测试方法。参考文献:BSAFSS: TV.3 BSIMM: PT2.3 EO14028: 4e(ix) IEC62443: SVV-1, SVV-2, SVV-3, SVV-4, SVV-5 NISTLABEL: 2.2.2.2 SCSIC: 同行评审和安全测试 SP80053: SA-11 SP800161: SA-11 SP800181: SP-DEV-001, SP-DEV-002;T0456;K0013, K0039, K0070, K0153, K0165, K0342, K0367, K0536, K0624;S0001, S0015, S0026, S0061, S0083, S0112, S0135
确定测试范围,设计测试,执行测试,并记录结果,包括在开发团队的工作流程或问题跟踪系统中记录和分类所有发现的问题及推荐的修复措施。示例:示例 1:对安全功能进行全面的功能测试。示例 2:将动态漏洞测试集成到项目的自动化测试套件中。示例3:将先前报告的漏洞测试纳入项目测试套件,以确保错误不会被重新引入。示例4:在制定测试计划时,考虑软件在生产环境中使用的基础设施和技术栈。示例5:使用模糊测试工具查找输入处理问题。示例6:如果有资源可用,使用渗透测试来模拟攻击者在高风险场景中可能尝试破坏软件的方式。示例7:识别并记录发现问题的根本原因。示例8:将代码测试中学到的经验记录在开发人员可以访问和搜索的维基中。示例9:在制定测试计划时使用源代码、设计记录及其他资源。参考资料:BSAFSS:TV.3, TV.5, PD.1-4 BSIMM:ST1.1, ST1.3, ST1.4, ST2.4, ST2.5, ST2.6, ST3.3, ST3.4, ST3.5, ST3.6, PT1.1, PT1.2, PT1.3, PT3.1 EO14028:4e(iv), 4e(v), 4e(ix) IDASOAR:7, 8, 10, 11, 38, 39, 43, 44, 48, 55, 56, 57 IEC62443:SM-5, SM-13, SI-1, SVV-1, SVV-2, SVV-3, SVV-4, SVV-5 IR8397:2.6, 2.7, 2.8, 2.9, 2.10, 2.11 ISO27034:7.3.6 MSSDL:10, 11 NISTLABEL:2.2.2.2 OWASPMASVS:7.5 OWASPSAMM:ST1-A、ST1-B、ST2-A、ST2-B、ST3-A PCISSLC:4.1 SCAGILE:操作安全任务10、11;需要安全专家协助的任务 4, 5, 6, 7 SCFPSSD:执行动态分析安全测试、模糊解析器测试、网络漏洞扫描、执行安全功能/缓解措施的自动化功能测试、执行渗透测试 SCSIC:同行评审和安全测试 SP80053:SA-11,SA-11(5),SA-11(8),SA-15(7) SP800161:SA-11,SA-11(5),SA-11(8),SA-15(7) SP800181:SP-DEV-001,SP-DEV-002;T0013, T0028, T0169, T0176, T0253, T0266, T0456, T0516;K0009, K0039, K0070, K0272, K0339, K0342, K0362, K0536, K0624;S0001, S0015, S0046, S0051, S0078, S0081, S0083, S0135, S0137, S0167, S0242;A0015
通过确定如何配置每个影响安全的设置或与安全相关的设置来定义安全基线,以确保默认设置是安全的,并且不会削弱平台、网络基础设施或服务提供的安全功能。示例: 示例 1:进行测试以确保设置,包括默认设置,按预期工作,并且不会无意中导致任何安全漏洞、操作问题或其他问题。 参考文献: BSAFSS: CF.1 BSIMM: SE2.2 EO14028: 4e(iv), 4e(ix) IDASOAR: 23 IEC62443: SD-4, SVV-1, SG-1 ISO27034: 7.3.5 SCAGILE:需要安全专家协助的任务 12 SCSIC:供应商软件交付完整性控制、供应商软件开发完整性控制 SP800181:SP-DEV-002;K0009, K0039, K0073, K0153, K0165, K0275, K0531;S0167
实施默认设置(或默认设置组,如果适用),并为软件管理员记录每个设置。示例:示例1:验证已批准的配置是否已应用于软件。示例2:记录每个设置的用途、选项、默认值、安全相关性、潜在操作影响以及与其他设置的关系。示例 3:使用权威的编程技术机制记录每个设置如何被软件管理员实施和评估。 示例 4:以可用格式存储默认配置,并在修改时遵循变更控制实践(例如,配置即代码)。 参考文献: BSAFSS: CF.1 BSIMM: SE2.2 EO14028: 4e(iv), 4e(ix) IDASOAR: 23 IEC62443: SG-3 OWASPSAMM: OE1-A PCISSLC: 8.1, 82 SCAGILE:需要安全专家帮助的任务 12 SCFPSSD:验证安全配置和平台缓解措施的使用 SCSIC:供应商软件交付完整性控制,供应商软件开发完整性控制 SP80053:SA-5, SA-8(23) SP800161:SA-5, SA-8(23) SP800181:SP-DEV-001;K0009, K0039, K0073, K0153, K0165, K0275, K0531