CISSP考點拾遺——軟體保障SwA

說明：“考點拾遺”系列基于日常為學員和網友做的答疑整理，主要涉及教材中沒有完全覆寫到的知識點。

Software assurance is the level of confidence that software is free from vulnerabilities, either intentionally designed into the software or accidentally inserted at any time during its life cycle, and that it functions in the intended manner.

軟體保障(Software Assurance,SwA)指對軟體免于存在漏洞(無論是有意設計到軟體中的漏洞還是在其生命周期中的任何時候意外插入的漏洞)以及軟體按預期方式運作的信心水準。 

——CNSSI 4009号文 

[注]CNSSI：Committee on National Security Systems Instruction國家安全系統指導委員會

以上是CISSP課程/考試中所遵循的軟體保障SwA的定義，嚴格意義上看，軟體保障SwA所讨論的對象應該包含任何來源的軟體，包括自研、外包或采購的。但在備考CISSP的語境下，SwA主要涉及軟體采購的場景，描述了為了達到上述信心水準的軟體采購過程的4個階段：

插播一句，上面粗體字和圖是答題關鍵字~~有時題幹中根本不提“軟體保障”，但是如果你看到了“follow-on”、“free from vulnerabilities”這樣的字眼要想起來這可能是在考軟體保障，在考軟體采購~~

下面是這4個階段分别應完成或達到些什麼，注意這些都是從官樣文字翻譯過來的，有些地方比較生硬，不是我不想把它弄順來啊，現在熟悉下這種調調對考試有好處滴~~

1、計劃planing階段：

(1)确定擷取軟體服務或産品的需求，識别潛在的備選軟體方案，并識别與這些備選方法相關的風險。

(2)開發軟體需求(包括SwA需求)，作為工作說明書的一部分；

(3)建立采購政策和/或計劃，包括識别與各種軟體采購政策相關聯的風險；

(4)制定評估标準和評估計劃，評估應是客觀、專業的獨立測試independent testing。

2、合同Contracting階段

(1)建立/釋出招标或RFP，包括工作說明、報價人/供應商說明、條款和條件(含驗收條件)、資格預審和證明；

(2)評估響應招标或RFP而送出的建議書(就是評标啦)；

(3)完成合同談判，正式确認條款和條件的變更，并授予合同。

3、監控和驗收Monitoring&Acceptance階段

(1)建立并同意(consenting)合同工作進度表；（consenting是非常正式的知情同意哈，手術前那份同意書就是這個詞）

(2)實施變更(或配置)控制程式；

(3)審查并接受軟體傳遞成果。