この文書は, 外部で作成されたソフトウェア(外部ソフトウェア)を利用する際の標準を規定する.
サービスを提供するには, Webサーバやアプリケーション言語, Webアプリケーンフレームワーク, 各種ライブラリなどの外部で作成されたソフトウェアを利用する必要がある. これらのソフトウェアは, 安全とは限らない. サービスの開発者は, これらのソフトウェアの安全性を可能な限り確認しなければならない.
サービスの開発者は, 新規に外部ソフトウェアを採用する場合にその安全性を確認しなければならない.
サービスの開発者は, 担当するソフトウェアの脆弱性情報を常に確認しなければならない. 脆弱性が確認されサービスが危険にさられると判断される場合は, 情報セキュリティ委員会に報告しなければならない.
情報セキュリティ委員会は, 外部ソフトウェアの脆弱性が確認された場合にサービスの開発者と協議の上で対応策を決定しなければならない. サービスの開発者は, その対応策を実行しなければならない.