SSDF—（Secure Software Development Framework）安全软件开发框架, NIST推荐的一组核心的高级安全软件开发实践

不管是什么 SDLC 方法，应当把软件安全开发实践在整个过程中进行集成，目的有三个:一是减少发布软件的漏洞数量;二是缓解未检出或 未处置漏洞被利用时的影响;三是找出安全漏洞产生的根本原因加以处置以避免再生。有很多安全方面的考虑可以在 SDLC 的多个阶段实施，但是一般情况下，越早处置安全问题，达到相同的安全水平所需的努力和成本就越低。这个原则被称为“左移(shifting left)”，它非常重要，且 无关于所采用的 SDLC 方法。 SSDF 白皮书没有引入新的实践或定义新的术语，相反，它基于现有的标准、指南和软件安全开发实践文档，描述了一个高级别实践的集合。