监管
监管域描述了软件开发组织制定的软件安全开发流程、合规要求、管理制度等体系化文件。
流程与政策
S-SDLC的实施必须是自上而下的,由高层授权,中层平衡相关利益方的诉求,从而达成组织对软件开发安全的共识,为后续的安全实践落地提供合适的土壤。组织需要对软件安全开发的流程和合规性进行监管,保证执行的效果,最终将安全内化到企业文化之中,为企业的业务产品提升安全方面的核心竞争力。“流程与政策”包括建立统一的软件安全战略、制定组织安全开发管理流程、建设和运营组织安全文化、建立组织级别的SDL量化管理体系等安全实践。
合规性
研发初期就应该从需求层面考虑软件应该符合哪些相关的法律法规,对于合规性的漠视可能会让组织付出惨痛的代价。“合规性”主要描述了软件开发组织从需求就开始重视监管规则。 该子域包含了转化政策法规、行业条例、监管要求为安全需求的安全实践。
培训
安全知识的培训对软件开发组织中的每个角色都至关重要,这是做好软件开发安全实践的前提。“培训”域主要描述了组织为提升高管和技术人员安全知识水平而制定并更新软件安全培训内容和考核内容的能力。
软件供应链安全管理
在数字化转型的大背景下,软件开发组织采购了大量的第三方软件加快组织的数字化转型,随之而来的是软件供应链安全攻击事件地成倍增长,造成了越来越严重的危害。供应商软件产品的安全性对软件开发组织而言至关重要。 “软件供应链安全管理”主要是帮助企业建立正式的制度,管理软件供应链的安全风险,该子域的内容包括成立软件供应链安全风险管理委员会和建立正式的软件供应链安全管理制度。