NIST 安全软件开发框架 1.1
控制项模式NIST SSDF v1.1 从官方可机读的 SSDF 表格工作簿中提取。
通过确定如何配置每个影响安全的设置或与安全相关的设置来定义安全基线,以确保默认设置是安全的,并且不会削弱平台、网络基础设施或服务提供的安全功能。示例: 示例 1:进行测试以确保设置,包括默认设置,按预期工作,并且不会无意中导致任何安全漏洞、操作问题或其他问题。 参考文献: BSAFSS: CF.1 BSIMM: SE2.2 EO14028: 4e(iv), 4e(ix) IDASOAR: 23 IEC62443: SD-4, SVV-1, SG-1 ISO27034: 7.3.5 SCAGILE:需要安全专家协助的任务 12 SCSIC:供应商软件交付完整性控制、供应商软件开发完整性控制 SP800181:SP-DEV-002;K0009, K0039, K0073, K0153, K0165, K0275, K0531;S0167
实施默认设置(或默认设置组,如果适用),并为软件管理员记录每个设置。示例:示例1:验证已批准的配置是否已应用于软件。示例2:记录每个设置的用途、选项、默认值、安全相关性、潜在操作影响以及与其他设置的关系。示例 3:使用权威的编程技术机制记录每个设置如何被软件管理员实施和评估。 示例 4:以可用格式存储默认配置,并在修改时遵循变更控制实践(例如,配置即代码)。 参考文献: BSAFSS: CF.1 BSIMM: SE2.2 EO14028: 4e(iv), 4e(ix) IDASOAR: 23 IEC62443: SG-3 OWASPSAMM: OE1-A PCISSLC: 8.1, 82 SCAGILE:需要安全专家帮助的任务 12 SCFPSSD:验证安全配置和平台缓解措施的使用 SCSIC:供应商软件交付完整性控制,供应商软件开发完整性控制 SP80053:SA-5, SA-8(23) SP800161:SA-5, SA-8(23) SP800181:SP-DEV-001;K0009, K0039, K0073, K0153, K0165, K0275, K0531