抱歉,尚不支持此语言

如果贵机构需要管理付款、处理敏感的客户或患者数据,或在受监管的市场经营业务,就可能需要证明自身符合具体标准,这样才能维持客户的信任并且避免遭受法律或法规的处罚。

Software compliance is more difficult than ever | Synopsys

在 Synopsys 的帮助下实现合规性

联系我们,了解帮助您实现具体合规性目标的方法。

法律法规

法律法规是一个国家或社区认可的规则体系,该体系会规范其成员行为,并可对处罚予以强制执行。

在美国,先由国会通过法案,然后由总统签署成为法律。一旦成为法律,行政管理与预算局 (OMB) 会将其变为一项政策,各联邦机构均要对该项政策予以实施和遵守。

Synopsys工具服务和在线学习可帮助您实现与法律法规相关的合规性目标,例如此处列出的与软件质量、安全、隐私和数据保护相关的法律法规。

laws and regulations
行业 法律或法规
汽车 联合国欧洲经济委员会 (UNECE) 世界车辆法规协调论坛 (WP 29) 资源
金融服务 格雷姆-里奇-比利雷法 (GLBA) 资源
医疗保健 欧盟 (EU) 医疗器械法规 (MDR) 2017/745 资源
美国联邦食品、药品和化妆品 (FD&C) 法案第 510(k) 节美国医疗器械许可 资源
经济和临床健康信息技术法案 (HITECH) 资源
健康保险可携性与责任法案 (HIPAA) 资源
多个 加州消费者隐私法 (CCPA) 和加州隐私权法 (CPRA) 资源
联邦信息安全管理法案和联邦信息安全现代化法案 (FISMA) 资源
通用数据保护条例 (GDPR) 资源
萨班斯-奥克斯利法案 (SOX) 资源
公共部门 联邦风险和授权管理计划 (FedRAMP) 授权法案 资源

标准、政策和指南

美国政府的政策由 OMB 或其他机构根据法律和行政命令制定,旨在为政府或内部机构制定实施指南。本指南可能参考了相关标准和美国国家标准与技术研究院 (NIST) 特别出版物 (SP)。

指南提供了有关如何遵守和实施法律、法规和政策的指导。

标准为证明遵守法律、政策和监管指南提供了依据。

Synopsys工具服务和在线学习有助于遵守标准、政策和指南,例如下面显示的与软件质量、安全、隐私和数据保护相关的标准、政策和指南。

Issues by industry recognized priority lists (PCI DSS 2018)

Synopsys PCI DSS 报告示例,显示按行业公认的优先级列表列出的问题

  • 此解决方案符合此标准的特定要求
  • 此解决方案支持一般要求,即把安全性构建到标准所建议的 SDLC 中
  • 行业
  • 标准、政策或指南
  • Coverity 静态分析
  • Black Duck 组成分析
  • Seeker 交互分析
  • Defensics 协议模糊测试
  • WhiteHat 动态分析
  • 服务
  • eLearning 在线学习
航空航天与国防 网络安全成熟度模型认证 (CMMC) 数据保护控制(89 个 CWE 和众多 CVE) 资源
航空航天与国防 国防信息系统局安全技术实施指南 (DISA-STIG) 资源
航空航天与国防 DO-178C 机载系统和设备认证标准中的软件注意事项 资源
航空航天与国防 汽车 AUTOSAR 自适应平台“关键和安全相关系统中 C++14 语言使用指南” 资源
航空航天与国防 汽车 ISO 26262 道路车辆功能安全标准 资源
航空航天与国防 汽车 MISRA C 和 C++ 编码标准 资源
汽车 ISO/CD 24089 道路车辆软件更新工程标准 资源
汽车 ISO/SAE 21434 道路车辆网络安全工程标准 资源
汽车 TR 68 – 自动驾驶汽车的 3 项网络安全原则和评估框架 资源
能源 NERC CIP(关键基础建设防护)可靠性标准 资源
金融服务 新加坡金融管理局 (MAS) 技术风险管理实践指南 资源
金融服务 支付卡行业数据安全标准 (PCI DSS) 资源
医疗保健 AAMI TIR57 医疗器械安全风险管理原则 资源
医疗保健 ANSI/CAN/UL 2900-2-3 安全和生命安全信号系统的特定要求 资源
医疗保健 FDA 上市前通知 510(k) 资源
医疗保健 IEC 62304 医疗器械软件的软件生命周期流程标准 资源
医疗保健 UL 2900-2-1 对医疗保健和健康系统的网络连接组件的特殊要求 资源
多个 ANSI/CAN/UL 2900-1 一般要求 资源
多个 ANSI/ISA/IEC 62443 控制系统组件标准 资源
多个 CWE 25 个最危险的软件缺陷 资源
多个 联邦信息处理标准 (FIPS) 出版物 140-2 和 140-3 加密模块的安全要求 资源
多个 ISACA 信息及相关技术控制目标 (COBIT) 框架 资源
多个 ISO/IEC 14882 C++ 编程语言标准 资源
多个 ISO/IEC 5055 IT 软件和软件质量测量的自动源代码质量测量(CISQ 自动源代码质量测量) 资源
多个 ISO/IEC 5230 OpenChain IT 规范 资源
多个 ISO/IEC TR 24772 避免编程语言漏洞的指南 资源
多个 ISO/IEC TS 17961 C 安全编码规则标准 资源
多个 ISO/IEC/IEEE 15026 系统和软件保证标准 资源
多个 ITU-T X.1520 关于使用常见漏洞和风险 (CVE) 的建议 资源
多个 ITU-T X.1524 关于使用通用缺陷列表 (CWE) 的建议 资源
多个 ITU-T X.1544 关于使用常见攻击模式枚举和分类 (CAPEC) 的建议 资源
多个 NIST SP 800-53 信息系统和组织的安全和隐私控制 资源
多个 OWASP 应用程序安全验证标准 (ASVS) 资源
多个 OWASP Mobile Top 10 Web 应用程序安全风险 资源
多个 OWASP Top 10 Web 应用程序安全风险 资源
多个 SEI CERT C、C++ 和 Java 安全编码标准 资源
多个 SPDX 软件物料清单 (SBOM) 信息传达规范 资源
多个 UL 2900 网络连接产品软件网络安全标准 资源
多个 UL 2900-2-2 工业控制系统的特殊要求 资源
公共部门 联邦风险和授权管理计划 (FedRAMP) 应用程序安全相关控制 资源
公共部门 NIST SP 800-161 联邦信息系统和组织的供应链风险管理实践 资源
电信 ETSI TR 101 583 安全测试和规范方法 资源
电信 GSMA FS.16 网络设备安全保障计划 (NESAS) 开发和生命周期安全要求 资源
交通运输 CENELEC EN 50128 铁路控制和保护系统软件中的通信、信号和处理系统 资源
<p>Synopsys can help you verify and maintain compliance before, during, and after development.</p><p>Many Synopsys employees serve or have served as subject matter experts for committees, boards, working groups, programs, and projects related to software quality and security standards, policies, and regulatory guidelines, as well as open source community initiatives.</p><p><a href="/content/synopsys/en-us/software-integrity/partners/standards-policies-collaborations.html">View standards and policies collaborations</a></p><p><a href="/content/synopsys/en-us/software-integrity/partners/open-source-community.html">View open source community initiatives</a></p><p><a href="/content/synopsys/en-us/software-integrity/training/software-security-courses.html" target="_blank">View compliance training</a></p>

让我们帮助您在前景复杂的合规性领域顺利前行

无论是在开发之前、期间还是之后,Synopsys 都能帮助您验证和维护合规性。

许多 Synopsys 员工正在担任或曾担任与软件质量和安全标准、政策和监管指南以及开源社区计划相关的委员会、工作组、计划和项目的主题专家。

查看标准和政策协作

查看开源社区计划

查看合规方面的培训