NIST SSDF（Secure Software Development Framework, SP 800-218）

NIST SSDF（Secure Software Development Framework, SP 800-218）とは、ひとことで言えば、米国NISTが策定したセキュアソフトウェア開発のベストプラクティス集です。組織の準備（PO）、ソフトウェアの保護（PS）、セキュアなソフトウェアの作成（PW）、脆弱性への対応（RV）の4カテゴリで構成されます。バイデン政権の大統領令14028を受けて、米国連邦政府にソフトウェアを納入する事業者には準拠が求められるようになりました。SBOM提出やソフトウェア由来証明などサプライチェーンセキュリティとも連動します。CISSP最新シラバスでは必須トピックとして頻出します。