5.11 開發商配置管理

5.11.1 一般要求

云服務商應要求信息系統、組件或服務的開發商：

a）在信息系統、組件或服務的[選擇：設計；開發；實現；運行]過程中實施配置管理。

b）記錄、管理和控制[賦值：云服務商定義的配置項]的變更的完整性。根據實際情況，配置項可包括但不限于：形式化模型、功能、高層設計說明書、低層設計說明書、其他設計數據、實施文檔、源代碼和硬件原理圖、目標代碼的運行版本、版本對比工具、測試設備和文檔。

c）得到批準后，才能對所提供的信息系統、組件或服務進行變更。

d）記錄對信息系統、組件或服務的變更及其所產生的安全影響。

e）跟蹤信息系統、組件或服務中的安全缺陷和解決方案。

5.11.2 增強要求

云服務商應：

a）要求信息系統、組件或服務的開發商提供能夠驗證軟件和固件組件完整性的方法，如哈希算法。

b）在沒有專用的開發商配置團隊支持的情況下，由本組織的人員建立相應的配置管理流程。

c）要求信息系統、組件或服務的開發商提供對硬件組件進行完整性驗證的方法，如防偽標簽、可核查序列號、防篡改技術等。

d）要求信息系統、組件或服務的開發商，在開發過程中使用工具驗證軟件或固件源代碼及目標代碼的當前版本與以往版本異同，以防止非授權更改。

e）要求信息系統、組件或服務的開發商采取有關措施，保障安全相關的硬件、軟件和固件的出廠版本與現場運行版本一致，以防止非授權更改。

f）要求信息系統、組件或服務的開發商采取有關措施，保障安全相關的硬件、軟件和固件的現場更新與開發商內部版本一致，以防止非授權更改。