NIST 安全软件开发框架 1.1

使用各种风险建模方法——例如威胁建模、攻击建模或攻击面映射——来帮助评估软件的安全风险。示例：示例 1：培训开发团队（特别是安全负责人），或与风险建模专家合作，创建模型并分析如何使用基于风险的方法来传达风险，并确定如何应对这些风险，包括实施缓解措施。示例2：对高风险区域进行更严格的评估，例如保护敏感数据以及保障身份验证、认证和访问控制，包括凭证管理。示例3：审查以前软件的漏洞报告和统计数据，以为安全风险评估提供参考。示例4：使用数据分类方法来识别和描述软件将交互的每种类型的数据。参考文献：BSAFSS：SC.1 BSIMM：AM1.2, AM1.3, AM1.5, AM2.1, AM2.2, AM2.5, AM2.6, AM2.7, SFD2.2, AA1.1, AA1.2, AA1.3, AA2.1 EO14028：4e(ix) IDASOAR：1 IEC62443：SM-4, SR-1, SR-2, SD-1 IR8397：2.1 ISO27034：7.3.3 MSSDL：4 NISTCSF：ID.RA OWASPASVS：1.1.2, 1.2, 1.4, 1.6, 1.8, 1.9, 1.11, 2, 3, 4, 6, 8, 9, 11, 12, 13 OWASPMASVS: 1.6, 1.8, 2, 3, 4, 5, 6 OWASPSAMM: TA1-A, TA1-B, TA3-B, DR1-A PCISSLC: 3.2, 3.3 SCAGILE: 需要安全专家帮助的任务 3 SCFPSSD: 威胁建模 SCTTM: 全部指南 SP80053: SA-8, SA-11(2), SA-11(6), SA-15(5) SP800160: 3.3.4, 3.4.5 SP800161: SA-8, SA-11(2), SA-11(6), SA-15(5) SP800181: T0038, T0062;K0005, K0009, K0038, K0039, K0070, K0080, K0119, K0147, K0149, K0151, K0152, K0160, K0161, K0162, K0165, K0297, K0310, K0344, K0362, K0487, K0624;S0006, S0009, S0022, S0078, S0171, S0229, S0248;A0092, A0093, A0107

跟踪并维护软件的安全需求、风险和设计决策。示例：示例 1：记录对每个风险的应对措施，包括如何实现缓解措施以及对任何获批的安全需求例外的理由。将任何缓解措施添加到软件的安全需求中。示例 2：保存设计决策、风险响应和已批准的例外记录，这些记录可在软件生命周期的其余阶段用于审计和维护。示例 3：定期重新评估所有已批准的安全性需求例外，并根据需要实施变更。参考文献：BSAFSS: SC.1-1, PD.1-1 BSIMM: SFD3.1, SFD3.3, AA2.2, AA3.2 EO14028: 4e(v), 4e(ix) IEC62443: SD-1 ISO27034: 7.3.3 MSSDL: 4 NISTLABEL: 2.2.2.2 OWASPASVS: 1.1.3, 1.1.4 OWASPMASVS: 1.3, 1.6 OWASPSAMM: DR1-B PCISSLC: 3.2, 3.3 SP80053: SA-8, SA-10, SA-17 SP800161: SA-8, SA-17 SP800181: T0256;K0005, K0038, K0039, K0147, K0149, K0160, K0161, K0162, K0165, K0344, K0362, K0487;S0006, S0009, S0078, S0171, S0229, S0248;A0092, A0107

在适当的情况下，应支持使用标准化的安全功能和服务（例如，使软件能够与现有的日志管理、身份管理、访问控制和漏洞管理系统集成），而不是创建专有的安全功能和服务实现。[原PW.4]3] 示例： 示例 1：维护一个或多个用于支持标准化安全功能和服务的模块的软件仓库。 示例 2：确定用于支持标准化安全功能和服务的模块的安全配置，并使这些配置可用（例如，作为配置即代码），以便开发人员可以方便地使用它们。示例 3：定义软件开发中必须支持的安全功能和服务的标准。参考文献：BSAFSS：SI.2-1、SI.2-2、LO.1；BSIMM：SFD1.1、SFD2.1、SFD3.2、SR1.1、SR3.4；EO14028：4e(ix)；IEC62443：SD-1、SD-4；MSSDL：5；OWASP ASVS：1.1.6；OWASP SAMM：SA2-A；SCFPSSD：标准化身份与访问管理；建立日志要求和审计实践