NIST SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項
こんにちは、丸山満彦です。
NISTが、SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項を公表し、意見募集をしていますね。。。
● NIST - ITL
SP 800-218 (Draft) Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities | SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項 |
Announcement | 発表事項 |
This document will replace the NIST Cybersecurity White Paper released in April 2020 which defined the original Secure Software Development Framework (SSDF), and it includes a change log summarizing the major changes from the April 2020 version. NIST used inputs from the public and its June 2021 workshop to shape SSDF version 1.1 in support of NIST's responsibilities under Executive Order (EO) 14028. The new SSDF draft also includes mappings from EO 14028 clauses to the SSDF practices and tasks that help address each clause. | この文書は、オリジナルのセキュアソフトウェア開発フレームワーク(SSDF)を定義した2020年4月に発表されたNIST Cybersecurity White Paperを置き換えるもので、2020年4月版からの主な変更点をまとめた変更ログも含まれています。NISTは、大統領令(EO)14028に基づくNISTの責任をサポートするために、一般市民からのインプットと2021年6月のワークショップを利用してSSDFバージョン1.1を策定しました。新しい SSDF のドラフトには、EO 14028 の条項と、各条項に対応するための SSDF の実践とタスクとの対応付けも含まれています。 |
Few software development life cycle (SDLC) models explicitly address software security in detail, so secure software development practices usually need to be added to each SDLC model to ensure the software being developed is well secured. Draft SP 800-218 recommends a core set of high-level secure software development practices called the SSDF that can be integrated within each SDLC implementation. Following these practices should help software producers reduce the number of vulnerabilities in released software, mitigate the potential impact of the exploitation of undetected or unaddressed vulnerabilities, and address the root causes of vulnerabilities to prevent future recurrences. Also, because the framework provides a common vocabulary for secure software development, software purchasers and consumers can use it to foster communications with suppliers in acquisition processes and other management activities. | ソフトウェア開発ライフサイクル(SDLC)モデルの中で、ソフトウェアセキュリティを詳細に明示的に扱っているものはほとんどありません。そのため、開発中のソフトウェアが十分にセキュリティ保護されていることを確認するためには、通常、各SDLCモデルにセキュアなソフトウェア開発プラクティスを追加する必要があります。ドラフトSP 800-218では、SSDFと呼ばれるハイレベルなセキュアソフトウェア開発プラクティスのコアセットを推奨しており、各SDLCの実装に統合することができます。これらのプラクティスに従うことで、ソフトウェア製作者は、リリースされたソフトウェアの脆弱性の数を減らし、未検出または未対処の脆弱性が悪用された場合の潜在的な影響を緩和し、将来の再発を防ぐために脆弱性の根本原因に対処することができます。また、このフレームワークは、安全なソフトウェア開発のための共通の語彙を提供しているため、ソフトウェアの購入者および消費者は、買収プロセスやその他の管理活動においてサプライヤーとのコミュニケーションを促進するために使用することができます。 |
Abstract | 概要 |
Few software development life cycle (SDLC) models explicitly address software security in detail, so secure software development practices usually need to be added to each SDLC model to ensure that the software being developed is well-secured. This document recommends the Secure Software Development Framework (SSDF) – a core set of high-level secure software development practices that can be integrated into each SDLC implementation. Following these practices should help software producers reduce the number of vulnerabilities in released software, mitigate the potential impact of the exploitation of undetected or unaddressed vulnerabilities, and address the root causes of vulnerabilities to prevent future recurrences. Because the framework provides a common vocabulary for secure software development, software purchasers and consumers can also use it to foster communications with suppliers in acquisition processes and other management activities. | ソフトウェア開発ライフサイクル(SDLC)モデルの中で、ソフトウェアのセキュリティを明示的に詳細に扱っているものはほとんどありません。そのため、開発するソフトウェアのセキュリティを確保するためには、通常、各SDLCモデルにセキュアなソフトウェア開発手法を追加する必要があります。このドキュメントでは、セキュアソフトウェア開発フレームワーク(SSDF)を推奨しています。SSDFは、各SDLCの実装に統合可能な、高レベルのセキュアソフトウェア開発プラクティスのコアセットです。これらのプラクティスに従うことで、ソフトウェア製造者は、リリースされたソフトウェアの脆弱性の数を減らし、未検出または未対処の脆弱性が悪用された場合の潜在的な影響を軽減し、将来の再発を防ぐために脆弱性の根本原因に対処することができます。このフレームワークは、安全なソフトウェア開発のための共通の語彙を提供するものであるため、ソフトウェアの購入者および利用者は、取得プロセスやその他の管理活動においてサプライヤーとのコミュニケーションを促進するためにも使用することができます。 |
・[PDF] SP 800-218 (Draft)
Executive Summary | エグゼクティブサマリー |
1 Introduction | 1 はじめに |
2 The Secure Software Development Framework | 2 安全なソフトウェア開発フレームワーク |
References | 参考文献 |
Appendix A The SSDF and Executive Order 14028 | 附属書A SSDFとExecutive Order 14028 |
Appendix B Acronyms | 附属書B 頭字語 |
Appendix C Change Log | 附属書C 変更履歴 |
« NIST 白書 NISTサイバーセキュリティフレームワークと北米電力信頼度協議会 (NERC) 重要インフラ保護基準の最新マッピングの利点 | Main | 米国 NSAとCISAが共同でリモートアクセスVPNの選択と強化に関するガイダンスを発表していますね。。。 »
Comments