NIST 安全软件开发框架 1.1

分析每个漏洞，以收集足够的信息来评估风险，从而规划其修复或其他风险应对措施。示例：示例1：使用现有的问题跟踪软件记录每个漏洞。示例2：根据漏洞可被利用的可能性、被利用后可能造成的影响以及其他相关特征，对每个漏洞进行风险计算。参考资料：BSAFSS: VM.2 BSIMM: CMVM1。2, CMVM2.2 EO14028: 4e(iv)、4e(viii)、4e(ix) IEC62443: DM-2, DM-3 ISO30111: 7.1.4 NISTLABEL: 2.2.2.2 PCISSLC: 3.4, 4.2 SCAGILE: 运营安全任务1，需要安全专家协助的任务10 SP80053: SA-10, SA-15(7) SP800160: 3.3.8 SP800161: SA-15(7) SP800181: K0009, K0039, K0070, K0161, K0165;S0078

为漏洞制定和实施风险应对措施。示例：示例 1：根据风险做出决策，确定每个漏洞是进行修复还是通过其他方式（如风险接受、风险转移）来处理风险，并优先考虑要采取的任何行动。示例 2：如果某个漏洞尚无永久解决方案，应确定在永久解决方案可用之前如何对该漏洞进行临时缓解，并将该临时缓解措施添加到计划中。示例 3：制定并发布安全公告，为软件使用者提供必要的信息，包括漏洞的描述、如何发现易受攻击的软件实例以及如何解决这些问题（例如，在哪里获取补丁以及补丁在软件中做了哪些更改；可能需要更改哪些配置设置；如何实施临时解决方法）。示例 4：通过自动化且可靠的传递机制向受让方提供修复措施。单个修复措施可以解决多个漏洞。 示例 5：根据需要更新设计决策、风险应对和已批准例外的记录。参见 PW.1.2。 参考资料： BSAFSS: VM.1-1, VM-2 BSIMM: CMVM2.1 EO14028: 4e(iv), 4e(vi), 4e(viii), 4e(ix) IEC62443: DM-4 ISO30111: 7.1.4, 7.1.5 NISTLABEL: 2.2.2.2 PCISSLC: 41, 4.2, 10.1 SCAGILE：操作安全任务 2 SCFPSSD：修复漏洞，识别缓解因素或解决方法 SCTPC：缓解 SP80053：SA-5, SA-10, SA-11, SA-15(7) SP800160：3.3.8 SP800161：SA-5, SA-8, SA-10, SA-11, SA-15(7) SP800181：T0163, T0229, T0264;K0009, K0070