GA/T 1718-2020 信息安全技術 大數據平臺安全管理產品安全技術要求7.3 生命周期支持
7.3.1 配置管理能力
開發者的配置管理能力應滿足以下要求:
a)為產品的不同版本提供唯一的標識;
b)使用配置管理系統對組成產品的所有配置項進行維護,并唯一標識配置項;
c)提供配置管理文檔,配置管理文檔描述用于唯一標識配置項的方法;
d)配置管理系統提供一種自動方式來支持產品的生成,通過該方式確保只能對產品的實現表示進行已授權的改變;
e)配置管理文檔包括一個配置管理計劃,配置管理計劃描述如何使用配置管理系統開發產品。實施的配置管理與配置管理計劃相一致;
f)配置管理計劃描述用來接受修改過的或新建的作為產品組成部分的配置項的程序。
7.3.2 配置管理范圍
開發者應提供產品配置項列表,并說明配置項的開發者。配置項列表應包含以下內容:
a)產品、安全保障要求的評估證據和產品的組成部分;
b)實現表示、安全缺陷報告及其解決狀態。
7.3.3 交付程序
開發者應使用一定的交付程序交付產品,并將交付過程文檔化。在給用戶方交付產品的各版本時,交付文檔應描述為維護安全所必需的所有程序。
7.3.4 開發安全
開發者應提供開發安全文檔。開發安全文檔應描述在產品的開發環境中,為保護產品設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。
7.3.5 生命周期定義
開發者應建立一個生命周期模型對產品的開發和維護進行的必要控制,并提供生命周期定義文檔描述用于開發和維護產品的模型。
7.3.6 工具和技術
開發者應明確定義用于開發產品的工具,并提供開發工具文檔無歧義地定義實現中每個語句的含義和所有依賴于實現的選項的含義。
推薦文章: