SEI报告：美国防部开发人员指南—软件安全保障

2018年12月，SEI（卡内基梅隆大学软件工程研究院）发布《美国国防部开发人员指南—软件安全保障》，为软件开发人员在软件全生命周期内相关工作提供指导。

指南指出：

软件安全保障是指在确保整个软件产品生命周期中按预期运行且没有漏洞。虽然“没有漏洞”是理想化的，但实际目标是管理与漏洞相关的风险。本指南帮助软件开发人员理解对软件安全保障的期望，并为选择和应用快速增长的软件安全工具和技术来管理风险提供指导。因为开发人员还需要了解他们的项目运行的监管背景，本指南还总结了许多影响软件安全保障决策的标准和要求。

本指南关注多个维度，因为必须在产品和开发生命周期的所有阶段都要保障安全性。虽然开发人员主要关心开发和维护，但他们需要对所有过程有基本的了解。软件需求和软件架构给开发带来了许多限制；许多产品包括商业现成的、政府现成的或开源软件组件，开发人员必须意识到通过采购和供应链引入的风险；越来越多地监控使用中的产品以识别威胁，需要验证和确认来考虑故障情况。

大量的出版物和资源为开发人员提供了有价值的信息，使得很难在一个地方收集和总结它们，本指南为开发人员提供了全面针对性参考资源。

《软件漏洞检测、测试和评估报告(SOAR)》对于国防部(DoD)软件开发人员特别有价值，我们在本指南中包含了该报告及其工具选择方法的摘要。

工具选择过程不能简化为简单的流程图或算法，因为有太多的交互因素。本指南提供了一种自下而上的工具选择方法，考虑到在开发或产品生命周期的不同阶段哪些活动和工具是合适的。它还包括对特殊生命周期考虑的指导，例如新开发和系统再造。

还讨论了在开发过程中选择和应用工具或技术时可能有用的指标。将工具集成到环境中后，必须解决工具发现问题。为此，开发人员需要能够将成本和风险传达给项目管理者。本指南描述了与开发人员相关的成本和收益决策，因此他们将了解管理层需要知道什么以及如何恰当地进行沟通。

特别章专门讨论软件维护和软件采购的保证。在维持期间，一旦产品投入使用，应该对其进行监控，并对不断变化的威胁进行建模。软件采购是一种特殊情况，其中大部分或全部产品由第三方开发，这就需要重点考虑其风险并进行管理。最后，附录提供了支持软件保证决策的参考、定义和工具。

报告大纲

第1章 介绍

第2章 软件安全保障概念及内涵

第3章 按生命周期阶段划分的软件安全保障快速指南

第4章 软件安全保障度量

第5章 SOAR指南

第6章 构建安全的开发过程:自下而上的方法

第7章 软件安全保障分析研究结论

第8章 软件维护期间的软件安全保障

第9章 采办中需要考虑的软件安全保障问题

附录A：合规性要求

附录B：参考资源

附录C：整个生命周期中的工具、技术和对策

附录D：技术目标

附录E：工具类型

附录F：项目背景问卷

附录G：缩略语

附录H：定义

声明：本文来自占知智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。