主題 | 安全期望值 | 重要原因 | 評價:安全申報 | 評估:客戶或第三方抽查 | 評估:客戶或第三方實驗室測試 |
V.A:產(chǎn)品生命周期管理 |
V.A: 總體目標 | 供應商的產(chǎn)品在產(chǎn)品的整個生命周期內(nèi)都得到適當?shù)闹С帧?/span> | 提供供應商對產(chǎn)品進行成熟管理的信心,在支持的生命周期內(nèi)接收更新和安全關鍵修復產(chǎn)品���。 | 作為安全聲明的一部分��,供應商描述了如何支持產(chǎn)品����。 | - | - |
V.A.1: 產(chǎn)品生命周期流程 | 供應商清楚地標識了每個產(chǎn)品的生命周期�。 供應商應制定生命周期終止政策,詳細說明產(chǎn)品在銷售終止后將支持多長時間���。 | 提供在給定日期之前支持產(chǎn)品的信心�。此外,供應商的支持日期適用于全球�,這意味著供應商可能會在此期間繼續(xù)投資于產(chǎn)品維護。 | 供應商在安全聲明中描述其產(chǎn)品的生命周期���。 對于產(chǎn)品線中的每個版本�����,供應商會在適用時立即在其網(wǎng)站上發(fā)布終止銷售日期��。生命周期終止政策應詳細說明在宣布銷售終止日期后�����,產(chǎn)品將獲得多長時間的支持以及以支持何種方式�����。此信息的位置在安全聲明中引用�����。 | 查看產(chǎn)品發(fā)布歷史記錄��。了解供應商如何使組件保持最新狀態(tài)���。 | - |
V.A.2: 軟件維護 | 每個產(chǎn)品都在其發(fā)布的生命周期中進行維護�����。此維護至少涵蓋產(chǎn)品的安全修復程序���。 | 確保產(chǎn)品可以針對產(chǎn)品在其支持的生命周期內(nèi)發(fā)現(xiàn)的安全問題進行修補。 | 供應商清楚地描述了他們將如何支持產(chǎn)品在其生命周期內(nèi)��,包括他們將在每個支持類下提供哪些支持��。 | 查看顯示應用于產(chǎn)品的安全修補程序歷史記錄的記錄��,包括解決任何未解決漏洞的路線圖����。 | 為客戶選擇的產(chǎn)品選擇已知漏洞的示例�����,并檢查如何以及何時根據(jù)供應商的策略修補這些漏洞�。(見V.A.7)�。 測試產(chǎn)品以驗證設備不再容易受到漏洞或漏洞變體的影響����。 |
.A.3: 軟件版本控制 | 每個產(chǎn)品都有一個版本控制的代碼存儲庫,用于記錄每個代碼修改����。此審核日志將詳細說明: -修改、添加或刪除了哪些代碼 -為什么進行更改 -誰做出了改變 -進行更改時 -已發(fā)布的代碼已內(nèi)置哪個版本的代碼產(chǎn)品�。 | 為了提供信心,供應商可以準確跟蹤產(chǎn)品中部署的代碼���。這對于有效調(diào)查供應鏈攻擊至關重要�。 | 供應商描述了他們?nèi)绾尉S護其代碼庫的完整性��。 | 供應商演示如何基于正常流程進行更改�����,以及如何拒絕通過其他方式進行更改���。 探索更改并驗證是否遵循了流程�。 |
|
V.A.4: 軟件版本 | 每個產(chǎn)品都經(jīng)過嚴格的軟件發(fā)布周期,包括在發(fā)布版本以正式發(fā)布之前進行內(nèi)部測試��。如果軟件不符合下面詳述的安全工程要求�����,則不會發(fā)布軟件�。每個產(chǎn)品都應由獨立的第三方定期進行外部測試。 | 此要求的存在是為了提供供應商測試其軟件版本并驗證其內(nèi)部安全工程流程是否已得到遵循的信心����。 測試還應確保不會重新引入以前解決的安全漏洞。 | 供應商描述其軟件發(fā)布周期�,包括門和執(zhí)行的測試。 | 查看生成和測試過程����。 查看針對客戶選擇的產(chǎn)品線和版本執(zhí)行的測試。檢查測試工具是否配置正確并查看測試結果�����。驗證是否包含測試以檢查以前解決的漏洞和問題���。 供應商證明由于任何失敗的測試而正確修復了問題。 | 通過在客戶或第三方的實驗室中重復測試來檢查一組供應商測試結果的準確性����。 |
V.A.5: 開發(fā)流程和功能開發(fā) | 該產(chǎn)品有一個主要發(fā)布系列���。 新版本的分叉被最小化。必要時��,客戶特定的功能作為可選模塊提供�。 在標準開發(fā)路線圖期間,任何新功能都會引入主產(chǎn)品線���。 | 此要求的存在是為了讓他們確信供應商正在向他們提供產(chǎn)品的正式發(fā)布版本����,以便他們知道可以使用常規(guī)支持路由在產(chǎn)品的整個生命周期內(nèi)獲得支持�。 供應商極不可能正確支持特定于功能的產(chǎn)品版本的激增。 | 安全聲明描述了供應商的開發(fā)過程����,包括如何以及何時發(fā)布新產(chǎn)品版本,以及如何將版本數(shù)保持在可管理的水平�����。 |
|
|
V.A.6: 國際發(fā)布和分叉 | 供應商為每個產(chǎn)品維護一個全局版本行。其他版本的數(shù)量最少(理想情況下沒有)��。 | 此要求的存在是為了提供產(chǎn)品受到全球支持的信心���,并且發(fā)現(xiàn)的任何問題都可以輕松緩解�。 供應商極不可能正確支持客戶特定產(chǎn)品版本的激增�。 | 供應商發(fā)布其產(chǎn)品的所有已發(fā)布版本的詳細信息,包括二進制哈希����。預計此信息將在供應商的網(wǎng)站上提供。 供應商在其安全聲明中引用其公開的產(chǎn)品版本列表�。 | 供應商描述產(chǎn)品的完整發(fā)布系列,包括創(chuàng)建每個版本的原因�����。 | 根據(jù)供應商發(fā)布的信息或其他方式��,測試供應商提供的產(chǎn)品版本是否為“全局”版本��,并具有匹配的二進制哈希��。 |
V.A.7: 工具���、軟件和庫的使用 | 對產(chǎn)品內(nèi)部和產(chǎn)品開發(fā)中使用的第三方工具(例如代碼編譯器)��、軟件組件和軟件庫進行清點���。上述任何對供應商軟件的安全性至關重要的內(nèi)容都將在其整個生命周期內(nèi)進行維護。 | 不支持的工具���、軟件組件��、軟件或庫不太可能使用現(xiàn)代安全功能����。如果暴露�����,它們可能會導致已知漏洞嵌入到產(chǎn)品中�。 必須修補產(chǎn)品關鍵安全保護中的漏洞,以最大程度地減少漏洞利用的影響�。 | 安全聲明描述了如何維護第三方軟件組件,明確說明何時(如果有)在任何產(chǎn)品版本中包含不支持的組件���,并說明理由�����。 | 對于客戶選擇的產(chǎn)品�����,供應商提供對產(chǎn)品安全至關重要的第三方組件列表(例如���,通過接口公開的組件)�����。驗證這些組件是否仍處于主動維護狀態(tài)���,并且產(chǎn)品生命周期內(nèi)是否有支持計劃。 | 掃描產(chǎn)品界面以清點已知的第三方工具����,并確定它們是否正在維護。 檢查產(chǎn)品以驗證供應商的組件列表是否準確����。 |
V.A.8: 軟件文檔 | 供應商提供最新且技術上準確的文檔以及產(chǎn)品的新版本。本文檔至少應詳細說明如何安全地配置��、管理和更新產(chǎn)品。 | 這為客戶提供了所需的信息����,以幫助他們在網(wǎng)絡中的整個生命周期內(nèi)安全地部署和管理產(chǎn)品���,并獨立評估該配置的安全性���。 這有助于減少客戶在供應商上的持續(xù)依賴。 | 安全聲明承諾向客戶發(fā)布產(chǎn)品文檔��。 |
| 使用文檔����,設置、操作�、配置和更新產(chǎn)品,而無需供應商的支持�。 |
