2. 保护产品免遭未经授权的访问

应保护用于设计和构建产品的所有资产，防止未经授权的修改。

在产品的整个生命周期内管理对产品的访问可减少恶意干扰的机会。

这意味着在开发、构建、测试、使用和维护的所有阶段，应保护数据、软件、系统和组件免受损害。用于构建产品的工具的完整性与支持开发的任何数据的完整性同样重要。

未经授权或意外地更改产品可能会损害其提供的安全性，并且当产品始终如一地运行时，更容易获得对产品的信心，符合已知的构建规范，这些规范仅在新版本正式批准发布时才会更改。

防御措施示例

·使用受控流程将更改合并到生产版本和用于构建产品的工具中，可以确信产品可以随着时间的推移而一致地构建。这些过程应考虑您对开发、构建和部署系统以及相关数据源的相对信任级别。

·应使用最小特权原则有效控制对数据和系统的访问，并应删除不再需要的人的访问权限。不同的人在整个产品的生命周期中具有不同程度的影响。管理内部威胁的措施应与来自组织外部的威胁一起考虑。

·应保护产品中保存的长期敏感值，例如加密机密，以防止未经授权的各方暴露（请参阅产品设计和功能的原则 1 和 2）。通过构建过程生成并需要保留以支持持续开发的敏感参数也应得到适当保护。

·您的流程应最大程度地减少攻击者了解产品弱点的机会。在开发过程中揭示的弱点的细节应仅限于那些需要知道的人。发现其他弱点的机会可能会因暴露详细的技术产品信息而产生，因此您应该将其限制在销售和营销期间绝对必要的范围内。

2. 
   

5. 
   

6. 
   

8. 
   

9. 
   

10. 
    

11. 
    

12. 
    

18. 
    
23. 
    
24. 
    
25. 
    
26. 
    
27. 
    
28. 
    
29. 
    

32. 
    

33. >>>工控安全<<<
34. 
    
43. 
    
44. >>>数据安全<<<

54. 
    

56. >>>供应链安全<<<

57. 
    

58. 
    

59. 
    

60. 
    

66. 
    

68. >>>其他<<<