5.10 開發過程、標準和工具

5.10.1 一般要求

無。

5.10.2 增強要求

云服務商應：

a）要求信息系統、組件或服務的開發商制定明確的開發規范，在規范中明確以下事項：

• 1）所開發系統的安全需求。

• 2）開發過程中使用的標準和工具。

• 3）開發過程中使用的特定工具選項和工具配置。

b）采取有關措施，確保開發過程的完整性和工具變更的完整性。

c）按照[賦值：云服務商定義的頻率]審查開發過程、標準、工具以及工具選項和配置，以滿足[賦值：云服務商定義的安全需求]。

d）要求信息系統、組件或服務的開發商在開發過程的初始階段定義質量度量標準，并以[選擇：[賦值：云服務商定義的頻率]；[賦值：云服務商定義的項目審查里程碑]；交付時]為節點，檢查質量度量標準的落實情況。

e）要求信息系統、組件或服務的開發商確定安全問題追蹤工具，并在開發過程期間使用。

f）要求信息系統、組件或服務的開發商以[賦值：云服務商定義的廣度和深度]對信息系統進行威脅和脆弱性分析。

g）要求信息系統、組件或服務的開發商通過清晰的流程來持續改進開發過程，以滿足質量要求，適應威脅環境的變化。

h）要求信息系統、組件或服務的開發商使用[賦值：自行定義或云服務商定義的工具]執行漏洞分析，明確漏洞利用的可能性，確定漏洞消減措施，并將工具的輸出和分析結果提交給[賦值：云服務商定義的人員或角色]。

i）要求信息系統、組件或服務的開發商即使在交付信息系統、組件或服務后，也應跟蹤漏洞情況，在發布漏洞補丁前便應通知云服務商，且應將漏洞補丁交由云服務商審查、驗證并允許云服務商自行安裝。

j）在信息系統、組件或服務的開發和測試環境使用生產數據時，應先行批準、記錄并進行保護。

k）要求信息系統、組件或服務的開發商制定應急預案，并將應急預案納入云服務商的事件響應計劃中。