Куда я попал?
Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении (Выписка)
Страна: Россия
Методическая документация ФСТЭК
пр1.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
Перечень программных компонентов в машиночитаемом формате представляется в соответствии со спецификацией CycloneDX<18> в нотации JSON<19> в соответствии с RFC 8259 в виде объекта, содержащего поля, описанные в таблице П.1. Допускается наличие дополнительных полей, соответствующих спецификации CycloneDX версии 1.6, версия которой указана в поле specVersion корневого объекта перечня программных компонентов.
<18> Спецификация CycloneDX https://ecma-international.org/publications-and-standards/standards/
ecma-424.
<19> ISO/IEC 21778:2017 Информационная технология. Синтаксис обмена данными JSON. -
Имя поля
- components
Тип- Массив объектов
Описание- Список компонентов. Если в программном обеспечении используется несколько версий одного и того же компонента, то для каждой версии компонента должна быть отдельная запись (в том числе для компонентов, заимствованных из других сертифицированных средств защиты информации). Не допускается объединять в одну запись компоненты, исходный код которых хранится в нескольких различных репозиториях систем управления версиями.
Требования к заполнению полей объектов описаны в таблице П.5.
Требования к наличию- Обязательно при наличии в составе программного обеспечения компонентов
-
Имя поля
- externalReferences
Тип- Массив объектов
Описание- Массив объектов, описывающих источник получения компонента, его исходных кодов, документации и других данных. Требования к заполнению полей объектов описаны в таблице П.6.
- Среди элементов массива обязательно должен присутствовать хотя бы один объект с типом vcs (ссылка на репозиторий в системе контроля версий) или source-distribution (ссылка на архив) за исключение следующих случаев:
- исходный код программного компонента полностью определяется исходным кодом его подкомпонентов, которые описаны в поле components данного объекта;
- программный компонент заимствован из сертифицированного средства защиты информации, входящего в состав среды функционирования ОО, и в поле properties указано свойство GOST:provided_by, содержащее название данного сертифицированного СЗИ;
- программный компонент не является компонентом с открытым исходным кодом и в поле licenses содержится запись с полем name, равным «Proprietary».
- В последнем случае, заимствованные подкомпоненты такого компонента должны быть описаны в поле components данного объекта.
Требования к наличию- Обязательно
-
Имя поля
- properties
Тип- Массив объектов
Описание- Массив объектов, описывающих дополнительные свойства компонента. Требования к заполнению полей объектов описаны в таблице П.8.
Среди элементов массива обязательно должны присутствовать объекты со свойствами GOST:attack_surface и GOST:security_function.
Требования к наличию- Обязательно
-
Имя поля
- hashes
Тип- Массив объектов
Описание- Содержит список хэш-кодов содержимого внешнего ресурса, полученных при помощи различных алгоритмов. Требования к заполнению полей объекта описаны в таблице П.7.
Если поле type имеет значение source-distribution, то данное поле является обязательным и среди его элементов обязательно должен присутствовать объект с идентификатором алгоритма Streebog-256, Streebog-512, STREEBOG-256 или STREEBOG-512.
Требования к наличию- Опционально
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.