Публичное обсуждение продлится до 30 января 2026 года; замечания предлагается направлять по адресу ssdf@nist.gov . Документ заменит действующую версию 1.1 (публикация NIST SP 800-218, февраль 2022 года, см. https://csrc.nist.gov/pubs/sp/800/218/final ).
«Национальный институт стандартов и технологий (NIST) опубликовал первоначальный проект для публичного обсуждения специальной публикации NIST SP 800-218 Rev.1 «Концепция безопасной разработки программного обеспечения (SSDF), версия 1.2: Рекомендации по смягчению рисков, связанных с уязвимостями программного обеспечения», - в соответствии с исполнительным приказом (executive order) Президента США № 14306 от 6 июня 2025 года «Об усилении отдельных мер по укреплению кибербезопасности страны и о внесении поправок в исполнительные приказы Президента США №13694 и № 14144» (Sustaining Select Efforts To Strengthen the Nation's Cybersecurity and Amending Executive Order 13694 and Executive Order 14144, см. https://www.federalregister.gov/documents/2025/06/11/2025-10804/sustaining-select-efforts-to-strengthen-the-nations-cybersecurity-and-amending-executive-order-13694 ).
В настоящем документе описываются новые и улучшенные методы (практики), задачи и примеры безопасной и надёжной разработки, поставки и совершенствования программного обеспечения.
Лишь немногие модели жизненного цикла разработки программного обеспечения (software development life cycle, SDLC) явным образом детально рассматривают вопросы безопасности программного обеспечения, поэтому обычно приходится добавлять методы безопасной разработки программного обеспечения в каждую модель SDLC-модель. Публикация NIST SP 800-218 рекомендует использовать «Концепцию безопасной разработки программного обеспечения» (Secure Software Development Framework, SSDF), представляющую собой базовый набор высокоуровневых методов (практик) безопасной разработки программного обеспечения, которые могут быть интегрированы в каждую реализацию жизненного цикла разработки программного обеспечения (SDLC).
Следование таким методам и практикам должно помочь производителям программного обеспечения сократить количество уязвимостей в выпущенном ими ПО, смягчить потенциальные последствия эксплуатации [враждебными сторонами – Н.Х.] необнаруженных или неустраненных уязвимостей, и устранить первопричины уязвимостей, чтобы предотвратить их повторное возникновение в будущем. Поскольку данная Концепция включает общую терминологию в области безопасной разработки программного обеспечения, то закупающие программное обеспечение стороны также могут использовать её как для укрепления информационного взаимодействия с поставщиками в ходе процессов проведения закупок, так и в рамках иной управленческой деятельности.»
Содержание документа следующее:
Резюме для руководства
1. Введение
2. Концепция разработки безопасного программного обеспечения
Литература
Приложение A: Перечень обозначений, сокращений и аббревиатур
Приложение B. История изменений
Основное место в документе (стр. 7-38) занимает Таблица 1 «Концепция разработки безопасного программного обеспечения (SSDF), версия 1.2», содержащая графы «Методы (практики)», «Задачи», «Характерные примеры реализации» и «Ссылки».
Источник: сайт NIST
https://csrc.nist.gov/pubs/sp/800/218/r1/ipd
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-218r1.ipd.pdf
Комментариев нет:
Отправить комментарий