软件产品的通用合规标准是什么?[关闭]

我不相信有一个专门的管理机构为您的软件类型指定规范。每个国家都有自己的隐私法,如果你在美国,每个州都有自己的法律,加州是最严厉的。

听起来你的软件正在被分发。当有人报告您的软件中存在漏洞时(是的,它最终会发生)。如果bug是由专业人员提交的,那么他们可能会使用mirte来引用cwe号码(bugtraq是一个噩梦!).很少有人意识到有成百上千种不同类型的漏洞 全部的 软件容易受到某些东西的攻击,即使它是一个技术性的东西。如果你认为你的软件是100%安全的,那么你就是一个傻瓜,或者你被一个好的推销员愚弄了。

我相信 CWE-200 家庭对你来说是最重要的。这个家族最重要的成员是 CWE-213 它直接引用了您正在尝试修补的示例漏洞。 CWE-549 也类似于你试图防御的东西。重要的部分是检查这个cwe的关系,因为有许多相关的漏洞适用于您。例如,CWE-549问题与 credential management .

如果我理解正确的话,你需要找出这个软件是否会在一个已经符合标准的行业中使用。例如,vanguard configuration manager是一个自动化的软件扫描程序,它支持对ibm system z安全配置设置的连续监视。该软件支持实施和利用国家标准与技术研究所(NIST)和国土安全部(DHS)的国家清单计划(NCP)中的z/OS和racf配置清单。

越来越多的行业和上市公司现在必须遵守这些联邦标准。如果你想获得银行客户,在他们演示之前,你的软件中可能会有很多必须遵守的法规。