NIST：安全软件开发框架（SSDF）1.1版：降低软件漏洞风险的建议（法语翻译）（2025） 41页

美国国家标准与技术研究院（NIST）发布的《安全软件开发框架（SSDF）1.1版》，旨在降低软件漏洞风险。 多数软件开发周期（SDLC）模型未详述软件安全，需添加安全开发实践。该框架基于既定标准、指南和文档，提出一套高级安全开发实践，助力实现安全开发目标。 框架将实践分为四组： 1. **组织准备（PO）**：确保人员、流程和技术就绪，明确安全要求，落实角色责任，采用自动化工具，定义安全控制标准，维护安全开发环境。 2. **软件保护（PS）**：保护代码不被非法访问和篡改，提供软件版本完整性验证机制，存档并保护软件版本及相关数据。 3. **开发安全软件（PW）**：设计时考虑安全需求与风险，审查设计，复用安全组件，遵循安全编码实践，配置编译、解释和构建流程，审查和测试代码，设置安全默认配置。 4. **响应漏洞（RV）**：持续识别和确认漏洞，评估、排序并修复，分析漏洞根本原因以减少未来发生频率。 框架不规定具体实施方式，注重实践结果，适用于各行业、规模和成熟度的组织，为软件开发者和采购者提供通用语言，助其沟通安全开发实践。