3.1.5  软件安全框架

3.1.5 软件安全框架

软件安全框架（Software Security Framework，简称SSF）是Cigital和Fortify合作开发的一种安全框架模型。SSF的结构初步建立在SAMM的内容上，并进行了相关调整^[3]。SSF包括12类实践中的112种活动。

表3-2展示了SSF的结构，共4个领域12类实践。其中4个领域分别是：

（1）治理 协助组织管理和测量软件安全。

（2）智能 收集企业知识，用于进行整个组织的软件安全活动。

（3）SSDL接触点 与分析以及软件开发中加工品和过程的保证联系起来。

（4）部署 和网络安全与软件的维修机构有关联。

表3-2 软件安全框架SSF[3]

SSF的12类实践分别是：

（1）策略和度量 期望的透明度和结果问责制。

（2）攻击模型 建立和公司相关的个性化的攻击知识库，建立数据分类方法并识别可能的攻击者。

（3）架构分析 发现并纠正安全漏洞，分类风险并进行设计复审。

（4）渗透测试 发现并纠正安全漏洞，提供完整性检查以及内部/外部测试。

（5）履约与策略 提供对所有利益相关者以及软件开发生命周期活动的说明性的指导方针。

（6）安全特征与设计 创建对安全功能、架构和模式的个性化的、主动的指导方针知识。

（7）代码审计 检测并纠正安全漏洞，执行编码规范并同时使用自动和手动的复审。

（8）软件环境 通过使用软件行为监测和诊断等流程来进行授权的改变并发现未经授权的改变和行为的能力。

（9）培训 建立知识型团队来发现流程中的错误。

（10）标准和需求 创建给股东的说明性指导方针和软件安全决策的文档。

（11）安全测试 通过使用类似模糊测试的方法来检测并纠正安全漏洞，确保符合标准并复用经批准的安全功能。

（12）配置管理和漏洞管理 跟踪对软件的经授权的改变，并发现未经授权的改变，着重于对事件的响应。