4.12 Разработка документации разработчика ПО, связанной с реализацией мер по разработке безопасного ПО, может быть направлена:

• на организацию работ по созданию безопасного ПО, выполняемых в рамках процессов жизненного цикла ПО;
• подтверждение соответствия требованиям настоящего стандарта.

В перечень документации разработчика ПО могут входить эксплуатационные документы, а также документ:

• содержащий требования по безопасности, предъявляемые к разрабатываемому ПО;
• содержащий сведения о результатах моделирования угроз безопасности информации;
• содержащий сведения о проекте архитектуры программы;
• описывающий используемые инструментальные средства;
• содержащий информацию о прослеживаемости исходного кода программы к проекту архитектуры программы;
• содержащий порядок оформления исходного кода программы;
• содержащий сведения о результатах проведения статического анализа исходного кода программы;
• содержащий сведения о результатах проведения экспертизы исходного кода программы;
• содержащий сведения о результатах проведения функционального тестирования программы;
• содержащий сведения о результатах проведения тестирования на проникновение;
• содержащий сведения о результатах проведения динамического анализа кода программы;
• содержащий сведения о результатах проведения фаззинг–тестирования программы;
• содержащий описание процедуры передачи ПО пользователю;
• содержащий описание процедур отслеживания и исправления обнаруженных ошибок ПО и уязвимостей программы;
• содержащий описание процедуры поиска разработчиком ПО уязвимостей программы;
• описывающий реализацию и использование процедуры уникальной маркировки каждой версии ПО;
• описывающий использование системы управления конфигурацией ПО;
• описывающий меры, используемые для защиты инфраструктуры среды разработки ПО;
• содержащий сведения об обучении сотрудников.

Требования к содержанию указанных документов представлены в разделе 5. Требований к количеству и номенклатуре документов не предъявляется. Разработчик ПО может скомпоновать необходимые сведения по своему усмотрению. Документы могут быть выполнены в виде бумажных или электронных документов. Для организации работ, выполняемых в рамках процесса эксплуатации ПО, разработчик ПО должен передать пользователю эксплуатационные документы [из 4.12 ГОСТ Р 56939–2016]