说明：“考点拾遗”系列基于日常为学员和网友做的答疑整理，主要涉及教材中没有完全覆盖到的知识点。

Software assurance is the level of confidence that software is free from vulnerabilities, either intentionally designed into the software or accidentally inserted at any time during its life cycle, and that it functions in the intended manner.

软件保障(Software Assurance,SwA)指对软件免于存在漏洞(无论是有意设计到软件中的漏洞还是在其生命周期中的任何时候意外插入的漏洞)以及软件按预期方式运行的信心水平。

——CNSSI 4009号文

[注]CNSSI：Committee on National Security Systems Instruction国家安全系统指导委员会

以上是CISSP课程/考试中所遵循的软件保障SwA的定义，严格意义上看，软件保障SwA所讨论的对象应该包含任何来源的软件，包括自研、外包或采购的。但在备考CISSP的语境下，SwA主要涉及软件采购的场景，描述了为了达到上述信心水平的软件采购过程的4个阶段：

插播一句，上面粗体字和图是答题关键字~~有时题干中根本不提“软件保障”，但是如果你看到了“follow-on”、“free from vulnerabilities”这样的字眼要想起来这可能是在考软件保障，在考软件采购~~

下面是这4个阶段分别应完成或达到些什么，注意这些都是从官样文字翻译过来的，有些地方比较生硬，不是我不想把它弄顺来啊，现在熟悉下这种调调对考试有好处滴~~

1、计划planing阶段：

(1)确定获取软件服务或产品的需求，识别潜在的备选软件方案，并识别与这些备选方法相关的风险。

(2)开发软件需求(包括SwA需求)，作为工作说明书的一部分；

(3)创建采购策略和/或计划，包括识别与各种软件采购策略相关联的风险；

(4)制定评估标准和评估计划，评估应是客观、专业的独立测试independent testing。

2、合同Contracting阶段

(1)创建/发布招标或RFP，包括工作说明、报价人/供应商说明、条款和条件(含验收条件)、资格预审和证明；

(2)评估响应招标或RFP而提交的建议书(就是评标啦)；

(3)完成合同谈判，正式确认条款和条件的变更，并授予合同。

3、监控和验收Monitoring&Acceptance阶段

(1)建立并同意(consenting)合同工作进度表；（consenting是非常正式的知情同意哈，手术前那份同意书就是这个词）

(2)实施变更(或配置)控制程序；

(3)审查并接受软件交付成果。

4、后续follow-on阶段

(1)支持sustainment，包括风险管理、保证案例管理和变更管理；(考虑从软件供应方得到的支持，而不是甲方自己的运维)

(2)处置或退役。

CISSP考点拾遗——软件保障SwA相关推荐

1. CISSP考点拾遗——SDLC（1）

   说明:"考点拾遗"系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点. 关于SDLC软件开发生命周期(也作系统开发生命周期)的描述,在CBK.OSG.AIO ...

2. CISSP考点拾遗——分割隧道与全隧道

   说明:"考点拾遗"系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点. 分割隧道Split Tunnel和全隧道Full Tunnel是VPN的两种配置. ...

3. CISSP考点拾遗——BCP/DRP演练层次问题

   说明:"考点拾遗"系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点. 这部分各个教材用词略有差别,应对考试应以CBK为准. 这部分考试坑点多,注意我加粗的 ...

4. CISSP考点拾遗——GDPR的跨境传输要求

   说明:"考点拾遗"系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点. GDPR涉及数据跨境这块,有三种情况,如下: 1.基于充分性认定的传送 如果欧盟委员 ...

5. CISSP考点拾遗——介质净化

   一.不同安全级别和净化后去向的介质净化要求: Clear:应用逻辑技术清除所有用户可寻址存储位置的数据,以防范简单的非侵入式数据恢复技术:通常通过标准读写命令作用于存储设备,例如通过用新值覆写或使用菜 ...

6. CISSP考点拾遗——公开测试Overt Testing和隐蔽测试Covert Testing

   这是一个找遍CISSP三个主要教材(CBK.OSG.AIO)都不见但考试会考到的内容(*^_^*)y 本文中内容主要出自NIST SP 800-115 信息安全测试和评估技术指南TECHNICAL G ...

7. 2023年CISSP考点及预约时间参考

   CISSP考试知多点 考试形式:机考 题目类型:250道单项选择题(题目来自ISC2的题库每次考试题目都会变化) 满分1000分,通过成绩700分(250道题目中有25道用于调查目的,不记分但并不明确 ...

8. 中小学信息学奥林匹克竞赛-理论知识考点--常用软件

   系统软件: Windows.Linux.Unix..OS/2.Ubuntu 办公软件: Office(Word.Excel.PowerPoint).WPS 图片动画处理: Photoshop.Core ...

9. 软件保障与测试课程实践记录：贪吃蛇小程序

   对象:贪吃蛇小程序 (原代码见 https://blog.csdn.net/leslie5205912/article/details/78980006) 测试过程: 程序改动部分: 1.bug修复 ...

最新文章

1. java 闭包与回调
2. Keepalived+LVS+Nginx负载均衡之高可用
3. ASP.NET 26个常用性能优化方法
4. 项目管理思考——我适合做项目经理吗
5. HTML5 Canvas和EaselJS入门（译）
6. SpringBoot2.1.5(45)--- Spring Boot的核心模块
7. SAP License：两种不太常见的移动类型
8. 谷歌修复 Chrome 站点隔离绕过漏洞
9. git .gitignore file does not work
10. 系统集成项目管理工程师计算题（成本管理计算）
11. 微服务实践（总）-原文
12. 一个简易的FTP客户端软件
13. android l fox x86,【原创】X61T笔触（无手触）安卓（X86）系统真正完美
14. pytorch安装到一半中断_AMD平台上配置PyTorch+Apex开发环境
15. 杨辉三角（Python-动态规划）
16. Mask Scoring Rcnn论文解读《Mask Scoring R-CNN》
17. 紫书已经基本学完现在开启紫书题目补完计划！！！
18. TIOBE 5月编程语言排行：Python再次挤掉Java，夺下榜二！
19. 俺是郭德纲先生的忠实非现场 听众+观众
20. SELINUX+PASSWD实战

热门文章

1. 1.19 多对一 关系 （多对一为多方外键；一对多为一方外键）
2. github push 代码出现fatal: Authentication failed for ‘https://github.com/xxx/xxx.git/‘
3. 仿牛客论坛项目全面大总结
4. 使用Iframe嵌套其他系统页面遇到的跨域问题
5. 关于标准ASCII编码表中：数字、小写英文字母和大写英文字母的前后次序
6. 计算机网络自顶向下--运输层
7. IB中文课程介绍：语文的另一种可能
8. c语言中进程的基本概念
9. Ogre2.0 全新功能打造新3D引擎
10. qiankun框架: vue2 主应用访问子应用报错 [import-html-entry]:error occurs 或 died in status LOADING_SOURCE_CODE