可信研发运营安全能力成熟度水位图报告-202312

版权声明研发运营安全现状并介绍中国信息通信研究院可信研发运营安全能 1 1 3（三）研发运营安全能力成为企业核心竞争力 4 5 8 8 （四）TSM水位图助力企业明确安全现状，完善改 20 25 25（二）要求（Requirements） 29（三）设计（Design） 34（四）控制（Control） 36（五）数据（Data） 42 44 2 4 5 6 21 8 22一、整体概述（一）安全研发态势严峻，影响深远各个重要行业和领域。随着数字化转型进程全球软件漏洞安全事件频发，对国家社会安全构成严峻挑战。问题层出不穷，严重危害国家、社会、个人信软件应用服务自身安全漏洞被黑客利用攻击是是安全事件频发研结果发现，45%的软件发布前未经过安全检查与测试，36%的团队缺乏一致性安全流程，35%的版本部（二）安全左移成为业界常态（三）研发运营安全能力成为企业核心竞争力之一（四）中国信通院建立研发运营安全标准体系，持续开展评估工作门限要求、项目角色及权限管理、安全审计、环二、TSM可信研发运营安全能力成熟度水位图（一）TSM水位图要素分为五大领域十七类子项安全测试、15）安全发布、16）安全监控运营、17）安全数据管理，123456789营安全实践中实施的各种安全控制措施，包括开源治理、安全编码、（二）开源治理与安全数据管理为目前企业安全体系建设短板商、安全厂商在内的26家企业的TSM可信研发运求7析89营理96（三）企业安全管理工作推进应关注四方面重点2.建立调度及协作流程，协调人员与资源，规范人员操作3.构建研发运营安全工具平台与工具链，无缝嵌入现有研发流程构建研发运营安全工具平台与工具链是可信研发运营安全体系入到研发工具链中，如代码管理工具、持续集成/持续部署（CI/CD）一个学习型的安全文化，使得研发人员更主动地参与到安全工作中。4.进行数据反馈，形成安全闭环，不断优化流程实践（四）TSM水位图助力企业明确安全现状，完善改进计划TSM可信研发运营安全能力成熟水位图作为一种直观有效的可11111111101111111101110111111111111111111111111111理111001111101701110111110001111111111101811111111111111111111119011111111111111111111111010119060三、TSM水位图子项活动详解1.安全组织（SO,SecurityOrganization）2.制度流程（RP,RegulationsandProcess）3.培训赋能（TE,TrainingandEmpower）培训赋能主要考察企业具备明确的安全相关培训管理办法与实4.标准规范（SS,StandardandSpecifications）标准规范主要考察企业有明确的安全研发全生命周期的制度文（二）要求（Requirements）5.安全门限要求（STR,SecurityTresholdRequirements）Management）7.安全审计（SA,SecurityAudit）运营人员以及第三方合作商以及第三方合作人员的相关操作行为进8.环境安全（ES,EnvironmentSafety）Management）在软件研发运营全生命周期各阶段针对系统中的配置项进行审计确包括但不限于功能变更、缺陷修补。（三）设计（Design）10.安全需求分析（SRA,SecurityRequirementsAnalysis）安全需求分析指在系统或软件的开发过程中明确定义和识别与11.安全设计（SD,SecurityDesign）[SD11.5-Ⅰ]针对识别出的关键攻击面和关键风险点进行分析12.开源治理（OG,OpensourceGovernance）[OG12.6-Ⅱ]项目服务所利用的开源组件只能从唯一的可信开13.安全编码（SC,SecureCoding）14.安全测试（ST,SecurityTesting）15.安全发布（SR,SecurityRelease）16.安全监控运营（SMO,SecurityMonitoringOperations）[SMO16.2-Ⅰ]具有抵御常见威胁攻击的能力，包括但不限于（五）数据（Data）17.安全数据管理（SDM,Securi