NIST：安全软件开发框架（SSDF）1.1版：降低软件漏洞风险的建议（西班牙语翻译）（2025） 40页

这是美国国家标准与技术研究院（NIST）发布的《软件安全开发框架（SSDF）1.1版》，旨在减轻软件漏洞风险。 1. **核心内容**：多数软件开发生命周期（SDLC）模型未详细阐述软件安全性，本文档推荐SSDF，它是一组可融入各SDLC实施过程的高级软件安全开发实践，有助于软件生产者减少发布软件的漏洞数量、降低漏洞利用的潜在影响，并避免漏洞再次出现。同时，为软件安全开发提供通用词汇，便于软件购买者与供应商沟通。 2. **SSDF实践分组** - **组织准备（PO）**：确保组织的人员、流程和技术为软件安全开发做好准备，如定义安全要求、明确职责、实施支持工具链等。 - **保护软件（PS）**：防止软件代码未经授权的访问和操纵，为软件购买者提供完整性验证机制，安全存档软件版本。 - **生产受保护的软件（PW）**：设计软件时满足安全要求并降低风险，审查软件设计，重用现有安全软件，遵循安全编码实践等。 - **应对漏洞（RV）**：持续识别和确认漏洞，评估、优先处理并纠正漏洞，分析漏洞原因以减少未来发生频率。 3. **适用对象**：软件生产者，包括商业成品软件（COTS）供应商、政府成品软件（GOTS）开发者等；软件购买者，如联邦机构及其他组织。