Стандарт содержит 5 разделов.
1. Область применения — своего рода небольшая аннотация. Самое основное:
Настоящий стандарт устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного программного обеспечения (ПО) и устранением выявленных недостатков, в том числе уязвимостей, ПО.
2. Нормативные ссылки — отсылки к трём другим ГОСТам. Рассматривать их смысла нет, можно просто заглянуть в стандарт.
3. Термины и определения — 23 термина, часть из которых позаимствована из других стандартов. Далее я рассмотрю некоторые термины, которые показались мне наиболее важными для темы РБПО.
4. Общие требования к разработке безопасного программного обеспечения.
5. Процессы разработки безопасного программного обеспечения. Это основной и самый большой раздел стандарта, где описано 25 процессов. Собственно, в основном мои посты будут посвящены этому разделу. Все описания процессов разработки безопасного программного обеспечения построены по единой схеме:
- цели;
- требования к реализации;
- артефакты реализации требований.
Эта единообразная структура делает чтение и анализ стандарта в целом простым процессом. И позволяет, условно говоря, "разложить ГОСТ на большой чеклист". Спасибо разработчикам стандарта за проделанную работу.