OWASP SCVS 软件组件验证标准

软件组件验证标准（Software Component Verification Standard）是一组按照控制域分类的控制项。架构师、开发人员、安全人员、法务人员和合规人员可以使用这些控制项来定义、构建和验证软件供应链的完整性。

开发一套通用的活动、控制和最佳实践，以降低软件供应链中的风险；定一个基线和路径，以使软件供应链安全保障变得成熟。

软件组件验证级别：

SCVS 1 适用于满足基本分析形式的低保障要求；

SCVS 2 适用于需要额外分析或尽职调查的中度敏感软件；

SCVS 3 适用于因数据敏感性或软件使用而产生的高保障要求。

六大控制域：

软件清单、软件物料清单、构建环境、包管理、组件分析、组件的家谱与来源

项目组成员：

英文项目组：Steve Springett、Dave Russo、Garret Fick、JC Herz、John Scott、Mark Symons、Pruthvi Nallapareddy、Bryan Garcia

中文项目组：肖文棣、尹杰、汪杰、王颉

文档下载：