NIST：安全软件开发框架（SSDF）1.1版：降低软件漏洞风险的建议（葡萄牙语翻译）（2025） 40页

这是美国国家标准与技术研究院（NIST）发布的《安全软件开发框架（SSDF）1.1版》特别出版物，旨在减轻软件漏洞风险。 多数软件开发生命周期（SDLC）模型未详述软件安全，需添加相关实践。该文档推荐SSDF，其是一组可集成到SDLC各实施环节的高级安全软件开发基本实践，能助软件生产者减少漏洞，降低未检测或未修复漏洞被利用的影响，解决漏洞根源，也为软件采购者与供应商沟通提供通用词汇。 SSDF实践分为四组： 1. **组织准备（PO）** ：确保人员、流程和技术为安全软件开发做好准备，如定义安全要求、明确职责、采用自动化工具、设定安全验证标准、维护安全开发环境。 2. **软件保护（PS）** ：保护软件组件不被篡改和未经授权访问，包括保护代码、提供软件版本完整性验证机制、存档并保护软件版本。 3. **生成安全软件（PW）** ：使开发的软件具备最少安全漏洞，涵盖设计满足安全要求、审查设计合规性、复用安全软件组件、编写安全代码、优化编译等流程、审查分析代码、测试可执行代码、设置安全默认配置。 4. **响应漏洞（RV）** ：持续识别确认漏洞并妥善应对，包括识别确认漏洞、评估优先级并修复、分析漏洞主因以避免未来重现。