这是一个关于软件产品的非常通用的问题 . 我想知道哪些合规标准适用于任何软件产品 .
我知道这个问题什么都没有 . 所以,这是我所指的一个例子 . CiSecurity Security Certification/Compliance列出了由他们认证的产品,以符合其网站上公布的标准,即cisecurity.org . 合规性可以像回答产品调查问卷一样简单,也可以由第三方认可,例如cisecurity,也可以适用于整个组织,例如PCI-DSS合规性 .
我非常有兴趣了解您知道/设计/创建的产品符合标准 . 为了给出这个问题背后的背景:我是数据屏蔽工具的开发人员 . 该工具使用过滤器帮助屏蔽银行Web应用程序中的屏幕html文本 . 因此,例如,如果银行应用程序使用ssn列出用户信息,我的产品与银行产品集成时,会自动识别ssn模式并将其屏蔽为预定义的格式 . 所以,我让我的产品营销团队想要更多的动态更新像合规这样的词汇能够将它卖给更多的银行客户 . 因此,理解 "compliances that apply to products “对我来说是一个关键的研究项目 . 我的意思是,安全合规性 .
感谢您的所有帮助和建议 .
2 回答
我不认为有一个特定的管理机构规定了您的软件类型的规范 . 个别国家/地区有自己的隐私法,如果您在美国,各州都有自己的法律,加州是最难的 .
听起来你的软件正在发布 . 当有人报告您的软件中存在漏洞时(是的,它最终会发生) . 如果这个bug是由专业人士提交的,那么他们可能会使用Mirte来引用CWE号码(BugTraq是一场噩梦!) . 很少有人意识到存在数百种不同类型的漏洞,并且软件易受某些攻击,即使它具有技术性 . 如果你认为你的软件100%安全,那么你是一个傻瓜,或者你是一个好的推销员所愚弄的 .
我相信CWE-200家族对你来说最重要 . 此系列中最重要的成员是CWE-213,它直接引用了您尝试修补的示例漏洞 . CWE-549也类似于你想要防御的东西 . 重要的是检查这个CWE的关系,因为有许多相关的漏洞适用于您 . 例如,CWE-549问题与credential management有关 .
如果我理解正确,您需要找到相关软件的IF将用于已经符合合规标准的行业 . 例如,Vanguard Configuration Manager是一个自动化软件扫描程序,可以连续监视IBM System z安全配置设置 . 该软件支持实施和利用国家标准与技术研究院(NIST)的国家清单计划(NCP)和国土安全部(DHS)的z / OS和RACF配置清单 .
越来越多的行业和上市公司现在必须遵守这些联邦标准 . 如果您希望获得银行客户,您可能会遇到一系列合规性规定,这些规定必须在您的软件中进行演示之前必须满足 .