关闭。这个问题需要更多 focused .它目前不接受答案。
想改进这个问题?更新问题,使其仅关注一个问题 editing this post .
8年前关闭。
Improve this question
这是一个关于软件产品的非常普遍的问题。我想知道适用于任何软件产品的合规标准。
我知道这个问题不会泄露任何信息。所以,这是我所指的一个例子。
CiSecurity Security Certification/Compliance列出经他们认证符合其网站(即 cisecurity.org)上发布的标准的产品。合规性可以像为您的产品回答问卷并获得第三方(如 cisecurity)批准一样简单,也可以适用于您的整个组织,例如 PCI-DSS 合规性。
我很想知道您知道/设计/创建的产品遵守的标准。为您提供这个问题背后的背景:我是数据屏蔽工具的开发人员。该工具有助于使用过滤器在银行 Web 应用程序中屏蔽屏幕上的 html 文本。因此,例如,如果银行应用程序列出了带有 ssn 的用户信息,我的产品在与银行产品集成时会自动识别 ssn 模式并将其屏蔽为预定义的格式。所以,我的产品营销团队想要更多的嗡嗡声诸如合规之类的词能够将其出售给更多的银行客户。因此,了解 “适用于产品的合规性 ”是我目前的一个关键研究项目。我的意思是,安全合规性。
感谢您的所有帮助和建议。
最佳答案
我不相信有一个特定的管理机构来规定您的软件类型的规范。各个国家/地区都有自己的隐私法,如果您在美国,各个州都有自己的法律,加利福尼亚是最严格的。
听起来您的软件正在分发。当有人报告您的软件中的漏洞时(是的,它最终会发生)。如果错误是由专业人士提交的,那么他们可能使用了 Mirte,它将引用 CWE 编号(BugTraq 是一场噩梦!)。很少有人意识到有数百种不同类型的漏洞和全部 软件很容易受到某些东西的影响,即使它是技术性的。如果你认为你的软件是 100% 安全的,那么你就是个傻瓜,或者你被一个好的推销员愚弄了。
我相信 CWE-200家庭对你来说是最重要的。这个家族中最重要的成员是CWE-213它直接引用了您尝试修补的示例漏洞。 CWE-549也类似于您要防御的内容。重要的部分是检查这个 CWE 的关系,因为有许多相关的漏洞适用于您。例如 CWE-549 问题与 credential management 相关。 .
关于security - 软件产品的常见合规标准是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2721978/