NIST 安全软件开发框架 1.1

从软件获取者、用户和公开来源收集有关软件及其使用的第三方组件潜在漏洞的信息，并调查所有可靠的报告。例如：示例1：通过手动或自动方式监控漏洞数据库、安全邮件列表及其他漏洞报告来源。示例 2：使用威胁情报来源更好地了解漏洞通常是如何被利用的。 示例 3：自动审查所有软件组件的来源和软件组成数据，以识别它们可能存在的任何新漏洞。 参考文献：BSAFSS: VM.1-3, VM.3 BSIMM: AM1.5, CMVM1.2, CMVM2.1, CMVM3.4, CMVM3.7 CNCFSSCP：保护材料——验证 EO14028：4e(iv)、4e(vi)、4e(viii)、4e(ix) IEC62443：DM-1、DM-2、DM-3 ISO29147：6.2.1、6.2.2、6.2.4、6.3、6.5 ISO30111：7.1.3 OWASPSAMM：IM1-A、IM2-B、EH1-B OWASPSCVS：4 PCISSLC：3.4、4.1、9。1 SCAGILE：操作安全任务 5 SCFPSSD：漏洞响应与披露 SCTPC：MONITOR1 SP80053：SA-10, SR-3, SR-4 SP800161：SA-10, SR-3, SR-4 SP800181：K0009, K0038, K0040, K0070, K0161, K0362;S0078

审查、分析和/或测试软件代码，以识别或确认先前未被发现的漏洞的存在。 示例： 示例 1：配置工具链，以对所有受支持的版本定期或持续执行自动化代码分析和测试。 示例 2：参见 PW.7 和 PW.8。 参考资料：BSAFSS: VM.1-2, VM.2-1 BSIMM: CMVM3.1 EO14028: 4e(iv), 4e(vi), 4e(viii), 4e(ix) IEC62443: SI-1, SVV-2, SVV-3, SVV-4, DM-1, DM-2 ISO27034: 7.3.6 ISO29147: 6.4 ISO30111: 7.1.4 PCISSLC: 3.4, 4.1 SCAGILE: 运营安全任务 10, 11 SP80053: SA-11 SP800161: SA-11 SP800181: SP-DEV-002;K0009, K0039, K0153

制定一项涉及漏洞披露和修复的政策，并实施支持该政策所需的角色、职责和流程。示例：示例1：建立漏洞披露计划，并让安全研究人员能够轻松了解您的计划并报告可能存在的漏洞。示例 2：建立产品安全事件响应团队（PSIRT）和相应流程，以处理漏洞报告和事件的响应，包括为所有相关方制定沟通计划。示例3：制定安全响应操作手册，以处理一般报告的漏洞、零日漏洞报告、在实际环境中被利用的漏洞，以及涉及多个方和开源软件组件的重大持续事件。 示例4：定期进行产品安全事件响应流程的演练。 参考资料：BSAFSS: VM.1-1, VM.2；BSIMM: CMVM1.1, CMVM2.1, CMVM3.3, CMVM3。7 EO14028：4e(viii)、4e(ix) IEC62443：DM-1、DM-2、DM-3、DM-4、DM-5 ISO29147：全部 ISO30111：全部 MSSDL：12 NIST标签：2.2.2.3 OWASPMASVS：1.11 OWASPSAMM：IM1-A、IM1-B、IM2-A、IM2-B PCISSLC：9.2、9.3 SCFPSSD：漏洞响应与披露 SP80053：SA-15(10) SP800160：3.3.8 SP800161：SA-15(10) SP800181：K0041、K0042、K0151、K0292、K0317；S0054；A0025 SP800216：全部