主題 | 安全期望值 | 重要原因 | 評價:安全申報 | 評估:客戶或第三方抽查 | 評估:客戶或第三方實驗室測試 |
V.A:產(chǎn)品生命周期管理 |
V.A: 總體目標(biāo) | 供應(yīng)商的產(chǎn)品在產(chǎn)品的整個生命周期內(nèi)都得到適當(dāng)?shù)闹С帧?/span> | 提供供應(yīng)商對產(chǎn)品進(jìn)行成熟管理的信心,在支持的生命周期內(nèi)接收更新和安全關(guān)鍵修復(fù)產(chǎn)品。 | 作為安全聲明的一部分,供應(yīng)商描述了如何支持產(chǎn)品。 | - | - |
V.A.1: 產(chǎn)品生命周期流程 | 供應(yīng)商清楚地標(biāo)識了每個產(chǎn)品的生命周期。 供應(yīng)商應(yīng)制定生命周期終止政策,詳細(xì)說明產(chǎn)品在銷售終止后將支持多長時間。 | 提供在給定日期之前支持產(chǎn)品的信心。此外,供應(yīng)商的支持日期適用于全球,這意味著供應(yīng)商可能會在此期間繼續(xù)投資于產(chǎn)品維護(hù)。 | 供應(yīng)商在安全聲明中描述其產(chǎn)品的生命周期。 對于產(chǎn)品線中的每個版本,供應(yīng)商會在適用時立即在其網(wǎng)站上發(fā)布終止銷售日期。生命周期終止政策應(yīng)詳細(xì)說明在宣布銷售終止日期后,產(chǎn)品將獲得多長時間的支持以及以支持何種方式。此信息的位置在安全聲明中引用。 | 查看產(chǎn)品發(fā)布?xì)v史記錄。了解供應(yīng)商如何使組件保持最新狀態(tài)。 | - |
V.A.2: 軟件維護(hù) | 每個產(chǎn)品都在其發(fā)布的生命周期中進(jìn)行維護(hù)。此維護(hù)至少涵蓋產(chǎn)品的安全修復(fù)程序。 | 確保產(chǎn)品可以針對產(chǎn)品在其支持的生命周期內(nèi)發(fā)現(xiàn)的安全問題進(jìn)行修補(bǔ)。 | 供應(yīng)商清楚地描述了他們將如何支持產(chǎn)品在其生命周期內(nèi),包括他們將在每個支持類下提供哪些支持。 | 查看顯示應(yīng)用于產(chǎn)品的安全修補(bǔ)程序歷史記錄的記錄,包括解決任何未解決漏洞的路線圖。 | 為客戶選擇的產(chǎn)品選擇已知漏洞的示例,并檢查如何以及何時根據(jù)供應(yīng)商的策略修補(bǔ)這些漏洞。(見V.A.7)。 測試產(chǎn)品以驗證設(shè)備不再容易受到漏洞或漏洞變體的影響。 |
.A.3: 軟件版本控制 | 每個產(chǎn)品都有一個版本控制的代碼存儲庫,用于記錄每個代碼修改。此審核日志將詳細(xì)說明: -修改、添加或刪除了哪些代碼 -為什么進(jìn)行更改 -誰做出了改變 -進(jìn)行更改時 -已發(fā)布的代碼已內(nèi)置哪個版本的代碼產(chǎn)品。 | 為了提供信心,供應(yīng)商可以準(zhǔn)確跟蹤產(chǎn)品中部署的代碼。這對于有效調(diào)查供應(yīng)鏈攻擊至關(guān)重要。 | 供應(yīng)商描述了他們?nèi)绾尉S護(hù)其代碼庫的完整性。 | 供應(yīng)商演示如何基于正常流程進(jìn)行更改,以及如何拒絕通過其他方式進(jìn)行更改。 探索更改并驗證是否遵循了流程。 |
|
V.A.4: 軟件版本 | 每個產(chǎn)品都經(jīng)過嚴(yán)格的軟件發(fā)布周期,包括在發(fā)布版本以正式發(fā)布之前進(jìn)行內(nèi)部測試。如果軟件不符合下面詳述的安全工程要求,則不會發(fā)布軟件。每個產(chǎn)品都應(yīng)由獨立的第三方定期進(jìn)行外部測試。 | 此要求的存在是為了提供供應(yīng)商測試其軟件版本并驗證其內(nèi)部安全工程流程是否已得到遵循的信心。 測試還應(yīng)確保不會重新引入以前解決的安全漏洞。 | 供應(yīng)商描述其軟件發(fā)布周期,包括門和執(zhí)行的測試。 | 查看生成和測試過程。 查看針對客戶選擇的產(chǎn)品線和版本執(zhí)行的測試。檢查測試工具是否配置正確并查看測試結(jié)果。驗證是否包含測試以檢查以前解決的漏洞和問題。 供應(yīng)商證明由于任何失敗的測試而正確修復(fù)了問題。 | 通過在客戶或第三方的實驗室中重復(fù)測試來檢查一組供應(yīng)商測試結(jié)果的準(zhǔn)確性。 |
V.A.5: 開發(fā)流程和功能開發(fā) | 該產(chǎn)品有一個主要發(fā)布系列。 新版本的分叉被最小化。必要時,客戶特定的功能作為可選模塊提供。 在標(biāo)準(zhǔn)開發(fā)路線圖期間,任何新功能都會引入主產(chǎn)品線。 | 此要求的存在是為了讓他們確信供應(yīng)商正在向他們提供產(chǎn)品的正式發(fā)布版本,以便他們知道可以使用常規(guī)支持路由在產(chǎn)品的整個生命周期內(nèi)獲得支持。 供應(yīng)商極不可能正確支持特定于功能的產(chǎn)品版本的激增。 | 安全聲明描述了供應(yīng)商的開發(fā)過程,包括如何以及何時發(fā)布新產(chǎn)品版本,以及如何將版本數(shù)保持在可管理的水平。 |
|
|
V.A.6: 國際發(fā)布和分叉 | 供應(yīng)商為每個產(chǎn)品維護(hù)一個全局版本行。其他版本的數(shù)量最少(理想情況下沒有)。 | 此要求的存在是為了提供產(chǎn)品受到全球支持的信心,并且發(fā)現(xiàn)的任何問題都可以輕松緩解。 供應(yīng)商極不可能正確支持客戶特定產(chǎn)品版本的激增。 | 供應(yīng)商發(fā)布其產(chǎn)品的所有已發(fā)布版本的詳細(xì)信息,包括二進(jìn)制哈希。預(yù)計此信息將在供應(yīng)商的網(wǎng)站上提供。 供應(yīng)商在其安全聲明中引用其公開的產(chǎn)品版本列表。 | 供應(yīng)商描述產(chǎn)品的完整發(fā)布系列,包括創(chuàng)建每個版本的原因。 | 根據(jù)供應(yīng)商發(fā)布的信息或其他方式,測試供應(yīng)商提供的產(chǎn)品版本是否為“全局”版本,并具有匹配的二進(jìn)制哈希。 |
V.A.7: 工具、軟件和庫的使用 | 對產(chǎn)品內(nèi)部和產(chǎn)品開發(fā)中使用的第三方工具(例如代碼編譯器)、軟件組件和軟件庫進(jìn)行清點。上述任何對供應(yīng)商軟件的安全性至關(guān)重要的內(nèi)容都將在其整個生命周期內(nèi)進(jìn)行維護(hù)。 | 不支持的工具、軟件組件、軟件或庫不太可能使用現(xiàn)代安全功能。如果暴露,它們可能會導(dǎo)致已知漏洞嵌入到產(chǎn)品中。 必須修補(bǔ)產(chǎn)品關(guān)鍵安全保護(hù)中的漏洞,以最大程度地減少漏洞利用的影響。 | 安全聲明描述了如何維護(hù)第三方軟件組件,明確說明何時(如果有)在任何產(chǎn)品版本中包含不支持的組件,并說明理由。 | 對于客戶選擇的產(chǎn)品,供應(yīng)商提供對產(chǎn)品安全至關(guān)重要的第三方組件列表(例如,通過接口公開的組件)。驗證這些組件是否仍處于主動維護(hù)狀態(tài),并且產(chǎn)品生命周期內(nèi)是否有支持計劃。 | 掃描產(chǎn)品界面以清點已知的第三方工具,并確定它們是否正在維護(hù)。 檢查產(chǎn)品以驗證供應(yīng)商的組件列表是否準(zhǔn)確。 |
V.A.8: 軟件文檔 | 供應(yīng)商提供最新且技術(shù)上準(zhǔn)確的文檔以及產(chǎn)品的新版本。本文檔至少應(yīng)詳細(xì)說明如何安全地配置、管理和更新產(chǎn)品。 | 這為客戶提供了所需的信息,以幫助他們在網(wǎng)絡(luò)中的整個生命周期內(nèi)安全地部署和管理產(chǎn)品,并獨立評估該配置的安全性。 這有助于減少客戶在供應(yīng)商上的持續(xù)依賴。 | 安全聲明承諾向客戶發(fā)布產(chǎn)品文檔。 |
| 使用文檔,設(shè)置、操作、配置和更新產(chǎn)品,而無需供應(yīng)商的支持。 |
