TEST.3.1.7 — Analyse der Zusammensetzung
KANN
Security level: erhöht
Effort 5
BSI-Stand-der-Technik-Kernel
Sub-control of TEST.3.1
Statement (Anforderung)
Änderungen und Tests KANN die Zusammensetzung der Änderungen testen.
Guidance (Erläuterung)
Eine Analyse der Zusammensetzung (Composition Analysis) ist die systematische Untersuchung und Bewertung der Bestandteile einer Software oder eines Systems – insbesondere in Bezug auf deren Herkunft, Eigenschaften und potenzielle Schwachstellen. Hierzu können auch (teil-)automatisierte Lösungen eingesetzt werden, z.B. können SBOMs in eine Plattform zur Verwaltung von Schwachstellen importiert werden, die eine Bereitstellung blockiert, wenn eine CVSS ≥ 9.0-Schwachstelle keine kompensierende Maßnahme hat.
Statement properties
| Name | Value |
|---|---|
| documentation | Freigabeplan |
| result | die Zusammensetzung der Änderungen |
| action_word | testen |
| modal_verb | KANN |
Control properties
| Name | Value |
|---|---|
| alt-identifier | ab876d7f-a36e-4efe-94b3-d62af35b3ca8 |
| sec_level | erhöht |
| effort_level | 5 |
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "TEST.3.1.7",
"parts": [
{
"id": "TEST.3.1.7_stm",
"name": "statement",
"props": [
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Freigabeplan"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die Zusammensetzung der Änderungen"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "testen"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "KANN"
}
],
"prose": "Änderungen und Tests KANN die Zusammensetzung der Änderungen testen."
},
{
"id": "TEST.3.1.7_gdn",
"name": "guidance",
"prose": "Eine Analyse der Zusammensetzung (Composition Analysis) ist die systematische Untersuchung und Bewertung der Bestandteile einer Software oder eines Systems – insbesondere in Bezug auf deren Herkunft, Eigenschaften und potenzielle Schwachstellen. Hierzu können auch (teil-)automatisierte Lösungen eingesetzt werden, z.B. können SBOMs in eine Plattform zur Verwaltung von Schwachstellen importiert werden, die eine Bereitstellung blockiert, wenn eine CVSS ≥ 9.0-Schwachstelle keine kompensierende Maßnahme hat."
}
],
"props": [
{
"name": "alt-identifier",
"value": "ab876d7f-a36e-4efe-94b3-d62af35b3ca8"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "erhöht"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "5"
}
],
"title": "Analyse der Zusammensetzung"
}