NIST 安全软件开发框架 1.1
控制项模式NIST SSDF v1.1 从官方可机读的 SSDF 表格工作簿中提取。
分析已识别的漏洞以确定其根本原因。示例:示例 1:记录发现问题的根本原因。示例 2:通过根本原因分析在开发人员可以访问和搜索的 wiki 中记录经验教训。参考资料:BSAFSS: VM.2-1 BSIMM: CMVM3.1, CMVM3.2 EO14028: 4e(ix) IEC62443: DM-3 ISO30111: 7.1.4 OWASPSAMM: IM3-A PCISSLC: 4.2 SCFPSSD:安全开发生命周期反馈 SP800181:T0047、K0009、K0039、K0070、K0343
随着时间的推移分析根本原因以识别模式,例如某个特定的安全编码实践没有被持续遵循。例子:例子1:通过根本原因分析将经验教训记录在开发人员可以访问和搜索的维基中。例子2:在工具链中添加机制以自动检测未来的根本原因实例。示例 3:更新手动流程以检测未来根本原因的实例。参考文献:BSAFSS: VM.2-1, PD.1-3 BSIMM: CP3.3, CMVM3.2 EO14028: 4e(ix) IEC62443: DM-4 ISO30111: 7.1.7 OWASPSAMM: IM3-B PCISSLC: 2.6, 4.2 SCFPSSD: 安全开发生命周期反馈 SP800160: 3.3.8 SP800181: T0111, K0009, K0039, K0070, K0343
检查软件是否存在类似漏洞,以根除某类漏洞,并主动修复,而不是等待外部报告。 示例:示例 1:参见 PW.7 和 PW.8。 参考资料:BSAFSS: VM.2 BSIMM: CR3.3, CMVM3.1 EO14028: 4e(iv), 4e(viii), 4e(ix) IEC62443: SI-1, DM-3, DM-4 ISO30111: 7.1.4 PCISSLC: 4.2 SP80053: SA-11 SP800161: SA-11 SP800181: SP-DEV-001, SP-DEV-002; K0009, K0039, K0070
审查 SDLC(软件开发生命周期)流程,并在适当情况下进行更新,以防止(或减少)根本原因在软件更新或新创建的软件中再次发生。示例:示例 1:通过根本原因分析,将经验教训记录在开发人员可以访问和搜索的维基中。示例 2:规划并实施对相关 SDLC 实践的变更。参考文献:BSAFSS: PD.1-3, BSIMM: CP3.3,CMVM3.2 EO14028:4e(ix) IEC62443:DM-6 ISO30111:7.1.7 MSSDL:2 PCISSLC:2.6,4.2 SCFPSSD:安全开发生命周期反馈 SP80053:SA-15 SP800161:SA-15 SP800181:K0009, K0039, K0070