NIST 安全软件开发框架 1.1

遵循所有适用于开发语言和环境的安全编码实践，以满足组织的要求。例如：示例1：验证所有输入，并验证和正确编码所有输出。示例2：避免使用不安全的函数和调用。示例3：检测错误，并优雅地处理它们。示例4：提供日志记录和追踪功能。示例 5：使用带有自动化功能的开发环境，这些功能鼓励或要求使用安全编码实践，并提供即时在位培训。示例 6：当自动化方法不足或不可用时，遵循手动确保符合安全编码实践的程序。示例 7：使用工具（例如，代码检查工具、格式化工具）来标准化源代码的风格和格式。示例 8：检查开发语言和环境中常见的其他漏洞。示例 9：让开发人员审查他们自己的可读代码，以补充（而不是替代）其他人或工具执行的代码审查。参见 PW.7。参考文献：BSAFSS: SC.2, SC.3, LO.1, EE.1 BSIMM: SR3.3, CR1.4, CR3.5 EO14028: 4e(iv), 4e(ix) IDASOAR: 2 IEC62443: SI-1, SI-2 ISO27034: 7.3.5 MSSDL: 9 OWASPASVS: 1.1.7, 1.5, 1.7, 5, 7 OWASPMASVS: 7.6 SCFPSSD: 建立日志要求和审计实践，使用代码分析工具早期发现安全问题，安全处理数据，处理错误，仅使用安全函数 SP800181: SP-DEV-001;T0013, T0077, T0176;K0009, K0016, K0039, K0070, K0140, K0624;S0019, S0060, S0149, S0172, S0266;A0036, A0047