主要观点：提出一种将多种安全措施整合的软件工程保障方法，包括静态和动态应用安全测试、信息安全风险评估等，以应对法规变化带来的安全需求，如 GDPR 和 EU Cyber Resilience Act，强调软件安全应从设计开始贯穿整个生命周期，包括静态分析、动态分析、信息安全风险评估、软件组件分析、漏洞管理、测量安全信心和遵循 OWASP 十大安全标准等方面。
关键信息：

• 多种安全测试和评估工具及方法，如 SAST、DAST、ISRA、SCA 等及其作用。
• GDPR 对个人数据保护的要求及相关措施。
• CRA 对软件和设备的统一安全要求，如安全设计等。
• MSC 框架用于衡量技术的保证成熟度。
• OWASP 十大安全标准的实践。
  重要细节：
• 静态分析在代码源头发现漏洞，嵌入 CI/CD 管道可早期修复问题。
• 动态分析在运行时评估应用行为，确认部署应用的安全性。
• ISRA 评估安全风险并与业务影响关联，支持战略决策。
• SCA 识别软件供应链中的组件及漏洞。
• 漏洞管理将各测试发现整合，实现持续修复。
• MSC 框架分为不同级别，从“未验证”到“持续保证”。
• OWASP 十大安全标准涵盖多个方面的最佳实践。
• GDPR 和 CRA 共同推动从被动合规到持续负责的转变。