NIST SSDF(Secure Software Development Framework,SP 800-218 v1.1)以四大群組——準備組織(PO)、保護軟體(PS)、產製良善安全的軟體(PW)、回應漏洞(RV)——定義安全開發實務,是美國行政命令 14028 後聯邦軟體供應鏈自我證明(attestation)的基準框架;2024 年再發布 SP 800-218A 把實務延伸到生成式 AI 與模型開發。對台灣軟體與韌體廠商,SSDF 的價值是「一份框架兩邊出證」:美系客戶的供應鏈安全問卷與政府案 attestation 用它,EU CRA 附件一的安全開發要求(secure by design、漏洞處理)也與其高度同構——以 SSDF 建制,CRA 技術文件的開發章節即有現成骨架。
四群組的落地重點
PO:政策、角色、工具鏈安全;PS:程式碼與產出物完整性(簽章、來源驗證);PW:威脅建模、安全編碼、第三方元件管理、測試;RV:漏洞接收、分析、修補與揭露。與 29147/30111 在 RV 群組直接接軌。
與 CRA/SBOM 的接軌
CRA 要求的安全開發、SBOM、漏洞處理在 SSDF 的 PS/PW/RV 都有對應實務。積穗科研自身交付管線即每日產製簽章 SBOM 並監測漏洞——輔導內容是我們先在自己身上執行的紀律,不是紙上框架。
不是驗證標準,是能力證明
SSDF 無認證制度,產出是實務對映表、政策與流程證據、attestation 簽署能力。客戶盡調與政府案要的正是這組證據——定位是「框架對應輔導」而非取證案。
Who This Is For
- 供貨美國聯邦體系或其供應鏈、需簽 attestation 的軟體商
- 出口歐盟、需回應 CRA 安全開發要求的數位產品製造商
- 被客戶問卷要求展示 SDLC 安全的開發團隊
- 導入 AI 開發、需對齊 800-218A 的組織
FAQ
SSDF 有認證嗎?
沒有。它是實務框架,落地產出是對映證據與自我證明能力。需要第三方背書時以 SOC 2、27001 或 CRA 符合性評估承載,SSDF 作為其中的開發實務內容。
和 CRA 的關係?
CRA 是法規、SSDF 是實務框架。CRA 附件一的安全開發與漏洞處理義務可用 SSDF 實務逐條對映落地,技術文件直接引用對映表——這是出口歐盟軟體廠最經濟的建制路徑。
800-218A 是什麼?
2024 年發布的 AI 開發延伸,把 SSDF 實務套用到生成式 AI 與雙用途基礎模型的開發情境(訓練資料完整性、模型產出物保護等)。做 AI 產品的團隊應一併對齊。
導入從哪裡開始?
差距自評(42 項任務逐條對映現況)→補強優先序(通常先 PS 完整性與 RV 漏洞流程)→證據與政策文件化。典型一至兩季可達可證明狀態。