CISO助手
完成度
0%(0/42)
评估报告
NIST

NIST 安全软件开发框架 1.1

控制项模式

NIST SSDF v1.1 从官方可机读的 SSDF 表格工作簿中提取。

版本: 1.1覆盖状态: 完整覆盖 (42/42)控制项/量表/总计: 42/0/42当前展示: 3 / 424 个分类
PW.4.1获取并维护安全性良好的软件组件(例如,软件库、模块、中间件、框架),这些组件来自商业、开源及其他第三方开发者,以供组织的软件使用。控制项
开发安全可靠的软件 / 在可行时,优先重用现有的、安全性良好的软件,而不是重复实现功能

获取并维护安全可靠的软件组件(例如,软件库、模块、中间件、框架),这些组件来自商业、开源及其他第三方开发者,以供组织的软件使用。示例:示例1:在其预期使用的背景下审核和评估第三方软件组件。如果将来组件要以明显不同的方式使用,请在新的上下文下再次进行审查和评估。示例2:确定软件组件的安全配置,并将其提供出来(例如,以代码形式的配置),以便开发人员可以方便地使用这些配置。示例3:获取来源信息(例如。每个软件组件都进行 SBOM、源代码组成分析、二进制软件组成分析,并分析这些信息以更好地评估组件可能带来的风险。示例 4:建立一个或多个软件仓库,以托管经过批准和审查的开源组件。示例5:维护一份组织批准的商业软件组件及其组件版本的清单,并附上其来源数据。 示例6:指定哪些组件必须包含在要开发的软件中。示例7:实施流程,以将已部署的软件组件更新到新版本,并在所有从这些版本的迁移成功完成之前,保留旧版本的软件组件。 示例8:如果无法确认所获取的二进制文件的完整性或来源,则在验证源代码的完整性和来源后,从源代码构建二进制文件。 参考文献:BSAFSS: SM。2 BSIMM: SFD2.1, SFD3.2, SR2.4, SR3.1, SE3.6 CNCFSSCP: 材料安全—验证 EO14028: 4e(iii), 4e(vi), 4e(ix), 4e(x) IDASOAR: 19 IEC62443: SM-9, SM-10 MSSDL: 6 NISTCSF: ID.SC-2 OWASPASVS: 1.1.6 OWASPSAMM: SA1-A OWASPSCVS: 4 SCSIC: 供应商采购完整性控制 SCTPC: 维护 SP80053: SA-4, SA-5, SA-8(3), SA-10(6), SR-3, SR-4 SP800161: SA-4, SA-5, SA-8(3), SA-10(6), SR-3, SR-4 SP800181: K0039

评估
评估状态:
评估备注:
PW.4.2按照软件开发生命周期(SDLC)流程,在内部创建和维护安全性良好的软件组件,以满足那些无法通过第三方软件组件更好实现的常见内部软件开发需求。控制项
开发安全可靠的软件 / 在可行时,优先重用现有的、安全性良好的软件,而不是重复实现功能

按照软件开发生命周期(SDLC)流程,在内部创建和维护安全性良好的软件组件,以满足无法通过第三方软件组件更好满足的常见内部软件开发需求。例如:示例 1:在创建和维护组件时,遵循组织制定的安全实践,以实现安全的软件开发。示例 2:确定软件组件的安全配置,并使其可用(例如,作为配置即代码),以便开发人员可以轻松使用这些配置。示例 3:为这些组件维护一个或多个软件仓库。示例 4:指定必须包含在待开发软件中的组件。示例5:实施流程以将已部署的软件组件更新到较新版本,并在所有从这些版本的过渡成功完成之前,维护软件组件的旧版本。参考资料:BSIMM:SFD1.1, SFD2.1, SFD3.2, SR1.1 EO14028:4e(ix) IDASOAR:19 OWASPASVS:1.1.6 SCTPC:MAINTAIN SP80053:SA-8(3) SP800161:SA-8(3) SP800181:SP-DEV-001

评估
评估状态:
评估备注:
PW.4.4验证所获取的商业、开源及所有其他第三方软件组件在其整个生命周期内是否符合组织定义的要求。控制项
开发安全可靠的软件 / 在可行时,优先重用现有的、安全性良好的软件,而不是重复实现功能

验证所获取的商业、开源及所有其他第三方软件组件在其整个生命周期内是否符合组织定义的要求。例如:示例 1:定期检查供应商尚未修复的软件模块和服务中是否存在公开已知的漏洞。示例2:在工具链中构建对软件组件已知漏洞的自动检测。示例3:使用商业服务的现有结果来审查软件模块和服务。示例4:确保每个软件组件仍在积极维护中且未达到生命周期终点;这应包括对被修复软件中新发现的漏洞。示例 5:为每个不再维护或在不久的将来无法使用的软件组件制定行动计划。示例 6:通过数字签名或其他机制确认软件组件的完整性。示例 7:审查、分析和/或测试代码。参见 PW.7 和 PW.8。参考文献:BSAFSS: SC.3-1, SM.2-1, SM.2-2, SM.2-3, TV.2, TV.3 BSIMM: CP3.2, SR2.4, SR3.1, SR3.2, SE2.4, SE3.6 CNCFSSCP:材料安全——验证,自动化 EO14028:4e(iii)、4e(iv)、4e(vi)、4e(ix)、4e(x) IDASOAR:21 IEC62443:SI-1、SM-9、SM-10、DM-1 IR8397:2.11 MSSDL:7 NISTCSF:ID.SC-4、PR.DS-6 NISTLABEL:2.2.2.2 OWASPASVS:10、14.2 OWASPMASVS:7.5 OWASPSAMM:TA3-A、SR3-B OWASPSCVS:4、5、6 PCISSLC:3.2、3.4、4.1 SCAGILE:需要安全专家协助的任务 8 SCFPSSD:管理使用第三方组件固有的安全风险 SCSIC:供应商采购完整性控制、同行评审和安全测试 SCTPC:维护、评估 SP80053:SA-9, SR-3, SR-4, SR-4(3), SR-4(4) SP800160:3.1.2, 3.3.8 SP800161:SA-4, SA-8, SA-9, SA-9(3), SR-3, SR-4, SR-4(3), SR-4(4) SP800181:SP-DEV-002; K0153, K0266; S0298

评估
评估状态:
评估备注: