SSDF (Secure Software Development Framework, NIST SP 800-218)

SSDF (Secure Software Development Framework, NIST SP 800-218)

NIST에서 제정한 안전한 소프트웨어 개발을 위한 실무 프레임워크로, 조직이 소프트웨어 보안을 체계적으로 내재화하기 위한 권고 사항 집합

특징: 4개 실무 그룹 기반, SBOM 연계, 공급망 보안 강화, 미국 행정명령(EO 14028) 기반 연방기관 의무화

4개 실무 그룹

• •PO(Prepare the Organization): 조직 준비 — 보안 정책 수립, 역할 정의, 교육, 도구 환경 구축
• •PS(Protect the Software): 소프트웨어 보호 — 소스코드/빌드 무결성 보호, 아카이브 보안, 릴리스 검증
• •PW(Produce Well-Secured Software): 안전한 소프트웨어 생산 — 보안 설계, 코드 리뷰, SAST/DAST, 취약점 테스트
• •RV(Respond to Vulnerabilities): 취약점 대응 — 취약점 식별/분석/수정, 공개 정책, SBOM 관리

적용 배경: SolarWinds/Log4Shell 등 공급망 공격 증가 → EO 14028로 연방 소프트웨어 공급망 보안 의무화

비교: SSDF(NIST/실무 프레임워크/공급망 중심) vs OWASP SAMM(성숙도 평가/자가 진단) vs MS SDL(프로세스/처방적) vs BSIMM(벤치마킹/서술적)

연관: Secure SDLC, SBOM, 공급망 보안, DevSecOps, EO 14028