CISSP考点拾遗——软件保障SwA

说明：“考点拾遗”系列基于日常为学员和网友做的答疑整理，主要涉及教材中没有完全覆盖到的知识点。

Software assurance is the level of confidence that software is free from vulnerabilities, either intentionally designed into the software or accidentally inserted at any time during its life cycle, and that it functions in the intended manner.

软件保障(Software Assurance,SwA)指对软件免于存在漏洞(无论是有意设计到软件中的漏洞还是在其生命周期中的任何时候意外插入的漏洞)以及软件按预期方式运行的信心水平。

——CNSSI 4009号文 

[注]CNSSI：Committee on National Security Systems Instruction国家安全系统指导委员会

以上是CISSP课程/考试中所遵循的软件保障SwA的定义，严格意义上看，软件保障SwA所讨论的对象应该包含任何来源的软件，包括自研、外包或采购的。但在备考CISSP的语境下，SwA主要涉及软件采购的场景，描述了为了达到上述信心水平的软件采购过程的4个阶段：

插播一句，上面粗体字和图是答题关键字~~有时题干中根本不提“软件保障”，但是如果你看到了“follow-on”、“free from vulnerabilities”这样的字眼要想起来这可能是在考软件保障，在考软件采购~~

下面是这4个阶段分别应完成或达到些什么，注意这些都是从官样文字翻译过来的，有些地方比较生硬，不是我不想把它弄顺来啊，现在熟悉下这种调调对考试有好处滴~~

1、计划planing阶段：

(1)确定获取软件服务或产品的需求，识别潜在的备选软件方案，并识别与这些备选方法相关的风险。

(2)开发软件需求(包括SwA需求)，作为工作说明书的一部分；

(3)创建采购策略和/或计划，包括识别与各种软件采购策略相关联的风险；

(4)制定评估标准和评估计划，评估应是客观、专业的独立测试independent testing。

2、合同Contracting阶段

(1)创建/发布招标或RFP，包括工作说明、报价人/供应商说明、条款和条件(含验收条件)、资格预审和证明；

(2)评估响应招标或RFP而提交的建议书(就是评标啦)；

(3)完成合同谈判，正式确认条款和条件的变更，并授予合同。

3、监控和验收Monitoring&Acceptance阶段

(1)建立并同意(consenting)合同工作进度表；（consenting是非常正式的知情同意哈，手术前那份同意书就是这个词）

(2)实施变更(或配置)控制程序；

(3)审查并接受软件交付成果。

4、后续follow-on阶段

(1)支持(sustainment)，包括风险管理、保证案例管理和变更管理；(考虑从软件供应方得到的支持，而不是甲方自己的运维)

(2)处置或退役。