可信研发运营安全能力成熟度水位图报告

目 录一、整概述 1（一）全研势严峻影响远 1（二）全左为业界态 3（三）发运全能力为企心竞争之一 4（四）国信建立研运营标准体，持展评估工作 二、TSM可研运营安能力度水位图 8（一）TSM位要素分五大十七类项 8（二）10（三）业安理工作进应四方面点 16（四）TSM位助力企明确现状，善改划 20三、TSM水图项活动解 25（一）系（System） 25（二）求（Requirements） 29（三）计（Design） 34（四）制（Control） 36（五）据（Data） 42四、下步工划 44图目录图12022漏洞响对象比图 2图2新型发运安全体系 4图3不同复阶的修复本 5图4可信发运安全能模型 6图5TSM可研运营安能力度水位型图 10图6TSM可研运营安能力度水位图 14图7示例业TSM可信研运营全能力熟度对比图 21表目录表1TSM可研运营安能力度水位要素 8表2TSM可研运营安能力度企业体得分 表3TSM可研运营安能力度示例业得分 22一、整体概述（一）安全研发态势严峻，影响深远DevOpsSplunk《2022年全全球软件漏洞安全事件频发，对国家社会安全构成严峻挑战。222P发现其N（C-20223260软件应用服务自身安全漏洞被黑客利用攻击是是安全事件频发Gartner92%27%。2023DataBreachInvestigationsReport20212022600080%，其中50%2022年2022173%来源：H3C，2022年网络安全漏洞态势报告，2023年3月图12022年漏洞影响对象占比图20228Synopsys350IT45%36%团队缺乏一致性安全流程，35%的版本部署到生产环境时存在漏洞，32%（二）安全左移成为业界常态2DeepInstinct《网络832,50082%18%图2新型研发运营安全体系（三）研发运营安全能力成为企业核心竞争力之一30倍。具3IBMHP3050倍Fortify100来源：美国国家标准与技术研究所（NIST）图3不同修复阶段的修复成本（四）中国信通院建立研发运营安全标准体系，持续开展评估工作20194。来源：中国信息通信研究院图4可信研发运营安全能力模型TSM9个子域，38企二、TSM可信研发运营安全能力成熟度水位图（一）TSM水位图要素分为五大领域十七类子项TSM5175171）2）制度10）安全需求分析、安全设计、12）开源治理、13）安全编码、14）安全测试、15）安全发布、16）安全监控运营、17）安全数据管理，具体如表1所示。表1TSM可信研发运营安全能力成熟度水位图要素领域序号指标英文缩写体系（System）1安全组织SO2制度流程RP3培训赋能TE4标准规范SS要求（Requirements）5安全门限要求STR6身份与访问管理IAM7安全审计SA8环境安全ES9变更升级和配置管理CCM设计（Design）10安全需求分析SRA11安全设计SD控制（Control）12开源治理OG13安全编码SC14安全测试ST15安全发布SR16安全监控运营SMO数据（Data）17安全数据管理SDM来源：中国信息通信研究院其中体系要求控制17目前企业评估水位图情况结果使用蛛网图进行表示，具有17根5517根轴线代表TSM1750-10来源：中国信息通信研究院图5TSM可信研发运营安全能力成熟度水位模型图（二）开源治理与安全数据管理为目前企业安全体系建设短板26TSM2所示。表2TSM可信研发运营安全能力成熟度企业总体得分体系（System）安全组织考察项企业得分考察项企业得分[SO1.1-Ⅰ]26[SO1.2-Ⅱ]16[SO1.3-Ⅱ]16[SO1.4-Ⅱ]16[SO1.5-Ⅱ]16制度流程[RP2.1-Ⅰ]18[RP2.2-Ⅰ]22[RP2.3-Ⅰ]26[RP2.4-Ⅰ]23[RP2.5-Ⅰ]25[RP2.6-Ⅱ]16[RP2.7-Ⅱ]15培训赋能[TE3.1-Ⅰ]26[TE3.2-Ⅰ]26[TE3.3-Ⅰ]26[TE3.4-Ⅰ]26[TE3.5-Ⅱ]14[TE3.6-Ⅱ]16[TE3.7-Ⅱ]13标准规范[SS4.1-Ⅰ]26[SS4.2-Ⅰ]25[SS4.3-Ⅰ]26[SS4.4-Ⅱ]14[SS4.5-Ⅱ]16[SS4.6-Ⅱ]15[SS4.7-Ⅱ]26要求（Requirements）安全门限要求[STR5.1-Ⅰ]22[STR5.2-Ⅱ]14[STR5.3-Ⅱ]16身份与访问管理[IAM6.1-Ⅰ]26[IAM6.2-Ⅰ]26[IAM6.3-Ⅰ]26[IAM6.4-Ⅰ]25[IAM6.5-Ⅰ]26[IAM6.6-Ⅱ]15[IAM6.7-Ⅱ]12安全审计[SA7.1-Ⅰ]26[SA7.1-Ⅰ]26[SA7.3-Ⅱ]12[SA7.4-Ⅱ]15[SA7.5-Ⅱ]15环境安全[ES8.1-Ⅰ]25[ES8.2-Ⅰ]23[ES8.3-Ⅰ]26[ES8.4-Ⅰ]25[ES8.5-Ⅰ]26[ES8.6-Ⅱ]15[ES8.7-Ⅱ]15[ES8.8-Ⅱ]13变更升级和配置管理[CCM9.1-Ⅰ]26[CCM9.2-Ⅰ]26[CCM9.3-Ⅰ]24[CCM9.4-Ⅰ]26[CCM9.5-Ⅰ]24[CCM9.6-Ⅰ]24[CCM9.7-Ⅰ]24[CCM9.8-Ⅰ]23[CCM9.9-Ⅱ]16[CCM9.10-Ⅱ]14[CCM9.11-Ⅱ]16[CCM9.12-Ⅱ]15[CCM9.13-Ⅱ]7[CCM9.14-Ⅱ]12设计（Design）安全需求分析[SRA10.1-Ⅰ]21[SRA10.2-Ⅰ]22[SRA10.3-Ⅱ]14[SRA10.4-Ⅱ]16[SRA10.5-Ⅱ]23安全设计[SD11.1-Ⅰ]25[SD11.2-Ⅰ]24[SD11.3-Ⅰ]23[SD11.4-Ⅰ]24[SD11.5-Ⅰ]24[SD11.6-Ⅱ]14[SD11.7-Ⅱ]13[SD11.8-Ⅱ]14[SD11.9-Ⅱ]15[SD11.10-Ⅱ]15[SD11.11-Ⅱ]11[SD11.12-Ⅱ]11控制（Control）开源治理[OG12.1-Ⅰ]22[OG12.2-Ⅰ]24[OG12.3-Ⅱ]17[OG12.4-Ⅱ]11[OG12.5-Ⅱ]13[OG12.6-Ⅱ]13[OG12.7-Ⅱ]15[OG12.8-Ⅱ]8[OG12.9-Ⅱ]15[OG12.10-Ⅱ]14[OG12.11-Ⅱ]14[OG12.12-Ⅱ]16安全编码[SC13.1-Ⅰ]26[SC13.2-Ⅰ]24[SC13.3-Ⅰ]26[SC13.4-Ⅰ]26[SC13.5-Ⅰ]25[SC13.6-Ⅱ]11[SC13.7-Ⅱ]13[SxC13.8-Ⅱ]15安全测试[ST14.1-Ⅰ]26[ST14.2-Ⅰ]24[ST14.3-Ⅰ]24[ST14.4-Ⅰ]23[ST14.5-Ⅰ]26[ST14.6-Ⅰ]25[ST14.7-Ⅱ]15[ST14.8-Ⅱ]14[ST14.9-Ⅱ]16[ST14.10-Ⅱ]9[ST14.11-Ⅱ]15安全发布[SR15.1-Ⅰ]24[SR15.2-Ⅰ]26[SR15.3-Ⅰ]26[SR15.4-Ⅰ]26[SR15.5-Ⅱ]16[SR15.6-Ⅱ]12[SR15.7-Ⅱ]13[SR15.8-Ⅱ]13[SR15.9-Ⅱ]12安全监控运营[SMO16.1-Ⅰ]17[SMO16.2-Ⅰ]19[SMO16.3-Ⅰ]24[SMO16.4-Ⅰ]23[SMO16.5-Ⅰ]26[SMO16.6-Ⅰ]24[SMO16.7-Ⅰ]26[SMO16.8-Ⅱ]13[SMO16.9-Ⅱ]10[SMO16.10-Ⅱ]10数据（Data）安全数据管理[SDM17.1-Ⅰ]22[SDM17.2-Ⅰ]25[SDM17.3-Ⅰ]20[SDM17.4-Ⅱ]14[SDM17.5-Ⅱ]11[SDM17.6-Ⅱ]12[SDM17.7-Ⅱ]15[SDM17.8-Ⅱ]14[SDM17.9-Ⅱ]9[SDM17.10-Ⅱ]6果在蛛网图中进行表示，最终形成目前TSM可信研发运营安全能力成熟度评估整体水位图，如下图6所示。来源：中国信息通信研究院图6TSM可信研发运营安全能力成熟度水位图TSM105.83和5.69108.578.08（三）企业安全管理工作推进应关注四方面重点26家企业TSM自上而下推动安全工作建立调度及协作流程，协调人员与资源，规范人员操作改进的机制是安全体系长期稳定运行的基础。有研发流程构建研发运营安全工具平台与工具链是可信研发运营安全体系/持续部署（CI/CD）一个学习型的安全文化，使得研发人员更主动地参与到安全工作中。进行数据反馈，形成安全闭环，不断优化流程实践（四）TSM水位图助力企业明确安全现状，完善改进计划TSMTSM可信TSM评估来源：中国信息通信研究院图7示例企业TSM可信研发运营安全能力成熟度水位对比图图7为一个示例企业与增强级平均水位图的对比，从图中我们可业得分情况分布见表3，供读者参考。表3TSM可信研发运营安全能力成熟度示例企业得分体系（System）安全组织考察项企业得分示例企业考察项企业得分示例企业[SO1.1-Ⅰ]261[SO1.2-Ⅱ]161[SO1.3-Ⅱ]161[SO1.4-Ⅱ]161[SO1.5-Ⅱ]161制度流程[RP2.1-Ⅰ]181[RP2.2-Ⅰ]221[RP2.3-Ⅰ]261[RP2.4-Ⅰ]231[RP2.5-Ⅰ]250[RP2.6-Ⅱ]161[RP2.7-Ⅱ]151培训赋能[TE3.1-Ⅰ]261[TE3.2-Ⅰ]261[TE3.3-Ⅰ]261[TE3.4-Ⅰ]261[TE3.5-Ⅱ]141[TE3.6-Ⅱ]161[TE3.7-Ⅱ]130标准规范[SS4.1-Ⅰ]261[SS4.2-Ⅰ]251[SS4.3-Ⅰ]261[SS4.4-Ⅱ]140[SS4.5-Ⅱ]161[SS4.6-Ⅱ]151[SS4.7-Ⅱ]2611要求（Requirements）安全门限[STR5.1-Ⅰ]221[STR5.2-Ⅱ]141要求[STR5.3-Ⅱ]161身份与访问管理[IAM6.1-Ⅰ]261[IAM6.2-Ⅰ]261[IAM6.3-Ⅰ]261[IAM6.4-Ⅰ]251[IAM6.5-Ⅰ]261[IAM6.6-Ⅱ]151[IAM6.7-Ⅱ]121安全审计[SA7.1-Ⅰ]261[SA7.1-Ⅰ]261[SA7.3-Ⅱ]121[SA7.4-Ⅱ]151[SA7.5-Ⅱ]151环境安全[ES8.1-Ⅰ]251[ES8.2-Ⅰ]231[ES8.3-Ⅰ]261[ES8.4-Ⅰ]251[ES8.5-Ⅰ]261[ES8.6-Ⅱ]151[ES8.7-Ⅱ]151[ES8.8-Ⅱ]131变更升级和配置管理[CCM9.1-Ⅰ]261[CCM9.2-Ⅰ]261[CCM9.3-Ⅰ]241[CCM9.4-Ⅰ]260[CCM9.5-Ⅰ]240[CCM9.6-Ⅰ]241[CCM9.7-Ⅰ]241[CCM9.8-Ⅰ]231[CCM9.9-Ⅱ]161[CCM9.10-Ⅱ]141[CCM9.11-Ⅱ]160[CCM9.12-Ⅱ]151[CCM9.13-Ⅱ]70[CCM9.14-Ⅱ]121设计（Design）安全需求分析[SRA10.1-Ⅰ]211[SRA10.2-Ⅰ]221[SRA10.3-Ⅱ]140[SRA10.4-Ⅱ]161[SRA10.5-Ⅱ]231安全设计[SD11.1-Ⅰ]251[SD11.2-Ⅰ]241[SD11.3-Ⅰ]231[SD11.4-Ⅰ]240[SD11.5-Ⅰ]240[SD11.6-Ⅱ]140[SD11.7-Ⅱ]131[SD11.8-Ⅱ]141[SD11.9-Ⅱ]151[SD11.10-Ⅱ]151[SD11.11-Ⅱ]111[SD11.12-Ⅱ]111控制（Control）开源治理[OG12.1-Ⅰ]221[OG12.2-Ⅰ]241[OG12.3-Ⅱ]171[OG12.4-Ⅱ]111[OG12.5-Ⅱ]131[OG12.6-Ⅱ]130[OG12.7-Ⅱ]151[OG12.8-Ⅱ]81[OG12.9-Ⅱ]151[OG12.10-Ⅱ]141[OG12.11-Ⅱ]141[OG12.12-Ⅱ]161安全编码[SC13.1-Ⅰ]261[SC13.2-Ⅰ]241[SC13.3-Ⅰ]261[SC13.4-Ⅰ]261[SC13.5-Ⅰ]251[SC13.6-Ⅱ]111[SC13.7-Ⅱ]131[SC13.8-Ⅱ]151安全测试[ST14.1-Ⅰ]261[ST14.2-Ⅰ]241[ST14.3-Ⅰ]241[ST14.4-Ⅰ]231[ST14.5-Ⅰ]261[ST14.6-Ⅰ]251[ST14.7-Ⅱ]151[ST14.8-Ⅱ]141[ST14.9-Ⅱ]161[ST14.10-Ⅱ]90[ST14.11-Ⅱ]151安全发布[SR15.1-Ⅰ]241[SR15.2-Ⅰ]261[SR15.3-Ⅰ]261[SR15.4-Ⅰ]261[SR15.5-Ⅱ]161[SR15.6-Ⅱ]121[SR15.7-Ⅱ]131[SR15.8-Ⅱ]131[SR15.9-Ⅱ]121安全监控运营[SMO16.1-Ⅰ]171[SMO16.2-Ⅰ]191[SMO16.3-Ⅰ]241[SMO16.4-Ⅰ]231[SMO16.5-Ⅰ]261[SMO16.6-Ⅰ]241[SMO16.7-Ⅰ]261[SMO16.8-Ⅱ]131[SMO16.9-Ⅱ]101[SMO16.10-Ⅱ]101数据（Data）安全数据管理[SDM17.1-Ⅰ]221[SDM17.2-Ⅰ]251[SDM17.3-Ⅰ]201[SDM17.4-Ⅱ]140[SDM17.5-Ⅱ]111[SDM17.6-Ⅱ]120[SDM17.7-Ⅱ]151[SDM17.8-Ⅱ]141[SDM17.9-Ⅱ]90[SDM17.10-Ⅱ]60来源：中国信息通信研究院三、TSM水位图子项活动详解（一）体系（System）安全组织（SOSecurityOrganization）工作机制并持续更新完善，推动研发运营安全的落地实施。考察指标具体包括：[SO1.1-Ⅰ]有基本的安全管理组织，具有专职的安全人员与安全管理岗位。[SO1.2-Ⅱ]制定组织层面的网络安全策略，并定义网络安全目标、原则、范围。[SO1.3-Ⅱ]建立组织层面的安全组织，有明确的安全人员角色划分，清晰的岗位职责、权利以及义务。[SO1.4-Ⅱ]有高级别的安全管理组织架构，协调组织级的跨部门安全工作，包括但不限于首席安全官、产品安全应急响应团队、安全研发团队、环境安全管理组织等。[SO1.5-Ⅱ]具有安全管理架构、安全人员管理的持续更新完善机制。制度流程RegulationsandProcess）制度流程主要考察企业在研发运营安全实践中，制定相关的管制度流程主要考察企业在研发运营安全实践中，制定相关的管理制度和操作流程，并具有相应的平台化的流程管理能力，保障各个环节都能够被及时响应，各项任务能够被顺利传递、衔接。考察指标具体包括：[RP2.1-Ⅰ][RP2.2-Ⅰ]2.4[RP2.3-Ⅰ]具有明确的应急事件响应流程和预先的事件响应计2.5[RP2.4-Ⅰ]制定和实施安全风险评估计划，定期进行安全测试与评估。2.6[RP2.5-Ⅰ]2.7[RP2.6-Ⅱ]具有统一的制度管理平台和平台化的流程管理系统。2.2[RP2.7-Ⅱ]2.3培训赋能（TETrainingandEmpower）培训赋能主要考察企业具备明确的安全相关培训管理办法与实培训赋能主要考察企业具备明确的安全相关培训管理办法与实施计划，针对研发、测试、运营相关人员，组织安全相关安全培训，运营安全能力，并进行相应的考核管理。考察指标具体包括：[TE3.1-Ⅰ]有明确的安全相关培训管理办法与实施计划。[TE3.2-Ⅰ][TE3.3-Ⅰ]对于员工安全培训结果进行考核登记。[TE3.4-Ⅰ]具有组织级层面安全考核，范围包括但不限于新员工入职。[TE3.5-Ⅱ]定期对于研发、测试、运营人员进行相关安全培训。[TE3.6-Ⅱ]按需提供个人培训，提供平台进行安全知识持续学习。[TE3.7-Ⅱ]安全考核范围应包括人员安全事故维度。标准规范（SS,StandardandSpecifications）标准规范主要考察企业有明确的安全研发全生命周期的制度文标准规范主要考察企业有明确的安全研发全生命周期的制度文通过统一的平台进行管理。考察指标具体包括：[SS4.1-Ⅰ][SS4.2-Ⅰ][SS4.3-Ⅰ]API[SS4.4-Ⅱ][SS4.5-Ⅱ]具有统一的平台对于研发测试规范进行管理。[SS4.6-Ⅱ]有明确的渗透测试计划与管理机制，建立渗透测试流程。[SS4.7-Ⅱ]有相应的发布安全流程与规范。（二）要求（Requirements）（STR,SecurityTresholdRequirements）前置。考察指标具体包括：[STR5.1-Ⅰ]具有组织级或项目级安全门限要求。[STR5.2-Ⅱ]根据业务场景、产品类型设立安全门限要求。[STR5.3-Ⅱ]根据语言类型划分安全门限要求。控，确保人员以及研发运营资源的安全性。身份与访问管理（IAM, Identity and控，确保人员以及研发运营资源的安全性。考察指标具体包括：[IAM6.1-Ⅰ]依据最小权限原则，通过用户、角色、用户组，建立资源、行为操作权限管控。[IAM6.2-Ⅰ]采用认证机制保证访问安全，包括但不限于配置强密码策略等，同时及时为不需要权限的用户或用户组移除权限。[IAM6.3-Ⅰ]针对研发、测试环境具有明确的权限管控机制。[IAM6.4-Ⅰ][IAM6.5-Ⅰ]升级变更操作有明确的审批授权机制。[IAM6.6-Ⅱ]支持多因素认证，保证访问安全。[IAM6.7-Ⅱ]安全审计（SASecurityAudit）运营人员以及第三方合作商以及第三方合作人员的相关操作行为进行监控审计，同时对高危操作进行重点审计，将审计记录形成报表，溯性。考察指标具体包括：[SA7.1-Ⅰ]审计范围应包括安全管理要求的落地情况以及研发、测试、运营相关人员的所有操作行为。[SA7.2-Ⅰ]安全审计日志完整详细，同时对于审计记录进行保护，有效期内避免非授权的访问、篡改、覆盖及删除。[SA7.3-Ⅱ]定期对于第三方合作商以及第三方合作人员进行安全审计。[SA7.4-Ⅱ]针对审计日志进行自动化与人工审计，对于审计记录形成报表，方便查询、统计与分析。[SA7.5-Ⅱ]对于高危操作进行重点审计，进行告警通知。环境安全（ES,EnvironmentSafety）的安全基线要求，定期执行安全基线扫描保障环境的安全。考察指标具体包括：[ES8.1-Ⅰ]研发、测试、生产环境隔离。[ES8.2-Ⅰ][ES8.3-Ⅰ][ES8.4-Ⅰ]作。[ES8.5-Ⅰ]研发、测试、生产环境上的数据具备定期离线备份的能力。[ES8.6-Ⅱ]定期执行生产环境的安全基线扫描，及时发现和处理安全风险。[ES8.7-Ⅱ]研发、生产环境具有良好的抗攻击与灾备容错能力。[ES8.8-Ⅱ] （CCMChangeandConfigurationManagement）认，确保产品交付信息的安全性、完整性、一致性及可追溯性。考察指标具体包括：[CCM9.1-Ⅰ]具有明确的进行变更条件与变更执行机制，变更[CCM9.2-Ⅰ]对于升级变更操作进行统一管理，明确记录操作[CCM9.3-Ⅰ]升级变更操作可以实现自动化回滚，同时与版本系统同步，确保版本信息一致。[CCM9.4-Ⅰ]变更升级操作对于用户无感知，对于用户有影响[CCM9.5-Ⅰ]有明确的配置管理策略，包括但不限于配置项标[CCM9.6-Ⅰ][CCM9.7-Ⅰ]对各配置项建立配置基线，对基线后的配置项变[CCM9.8-Ⅰ]具有明确的配置审计机制，包括但不限于配置项[CCM9.9-Ⅱ]对于变更请求进行统一分析、整理，确定变更方案。[CCM9.10-Ⅱ]重大变更操作具有分级评审机制。[CCM9.11-Ⅱ]配置项具有回滚机制，所有的配置项都能通过回滚的方式还原到变更之前的状态。[CCM9.12-Ⅱ]构建要素、测试环境要素识别为配置项纳入配置管理。[CCM9.13-Ⅱ]支持进行自动化配置审计。[CCM9.14-Ⅱ]项目依赖的自研模块、平台组件、开源源码、开源二进制、第三方软件被准确的定义和记录。（三）设计（Design）（SRASecurityRequirementsAnalysis）安全需求分析指在系统或软件的开发过程中明确定义和识别与安全需求分析指在系统或软件的开发过程中明确定义和识别与户隐私需求、行业安全标准、内部安全标准等。考察指标具体包括：[SRA10.1-Ⅰ][SRA10.2-Ⅰ]针对涉及个人数据处理的服务产品及相关业务活动梳理个人数据清单，开展隐私风险评估。[SRA10.3-Ⅱ]持续更新完善安全需求清单，依据包括但不限于[SRA10.4-Ⅱ]安全功能需求与其他功能性需求同步开展，具有节进行有效管理，需求分解分配可追溯，形成闭环。[SRA10.5-Ⅱ]具有公司级的统一的安全需求知识库，可依据具体安全需求，查找相应安全解决方案，并具有持续更新机制。安全设计（SDSecurityDesign）行安全设计，并执行风险消减设计。考察指标具体包括：[SD11.1-Ⅰ]有明确的安全设计原则，指导后续安全设计工作的开展。[SD11.2-Ⅰ]针对安全需求分析阶段识别的安全需求进行设计。[SD11.3-Ⅰ][SD11.4-Ⅰ][SD11.5-Ⅰ]针对识别出的关键攻击面和关键风险点进行分析设计并输出消减措施。[SD11.6-Ⅱ]可根据行业特点、业务场景、技术栈特点制定安全设计原则。[SD11.7-Ⅱ]可根据安全设计原则构建安全设计方案库，助力团队实践安全设计。[SD11.8-Ⅱ][SD11.9-Ⅱ]可根据业务场景，识别攻击者意图，并针对攻击者意图有效识别价值资产。[SD11.10-Ⅱ]有明确的威胁建模流程，包括但不限于确定安全[SD][SD11.12-Ⅱ]基于产品领域初始架构和产品领域高危暴露面，（四）控制（Control）开源治理（OGOpensourceGovernance）用的开源组件只能从可信开源组件仓库获取。考察指标具体包括：[OG12.1-Ⅰ]对于开源组件进行风险评估，明确组件风险，对于开源组件漏洞进行跟踪并及时修复。[OG12.2-Ⅰ]具有明确的开源组件确认机制，确保待发布的软件产品服务不包含高危组件。[OG12.3-Ⅱ]开源组件来源可追溯，明确组件版本和来源地址。[OG12.4-Ⅱ][OG12.5-Ⅱ][OG12.6-Ⅱ]项目服务所利用的开源组件只能从唯一的可信开源组件仓库获取。[OG12.7-Ⅱ]制定明确的开源组件入库审批机制。[OG12.8-Ⅱ][OG12.9-Ⅱ]开源组件与自研代码独立存放、目录隔离[OG12.10-Ⅱ]代码提交前采用自动化扫描工具进行开源组件安[OG12.11-Ⅱ]采用工具与人工核验的方式确认开源及依赖组件的安全性、一致性。[OG12.12-Ⅱ]根据许可证信息、安全漏洞等综合考虑法律、安全风险。安全编码（SC,SecureCoding）的代码审查和卡点机制，避免高风险源码的合入。考察指标具体包括：[SC13.1-Ⅰ][SC13.2-Ⅰ]维护获得安全认可的工具、框架列表，使用获得认可的工具、框架进行编码实现。[SC13.3-Ⅰ]使用静态应用程序安全测试工具对代码进行扫描，[SC13.4-Ⅰ]具有统一的版本控制系统，将全部源代码纳入版本控制系统管理。[SC13.5-Ⅰ][SC13.6-Ⅱ]IDE编码行为进行识别，告警。[SC13.7-Ⅱ]制定代码审核及代码合入门禁机制，如分级审核机制，确保代码合入质量。[SC13.8-Ⅱ]构建时开启安全选项，从构建启动开始到构建结束过程自动化，中间过程不手工干预；版本重复构建结果一致。安全测试SecurityIT试问题有记录可查询。考察指标具体包括：[ST14.1-Ⅰ]扫描、[ST14.2-Ⅰ]企业在研发流程中，有明确的安全隐私测试要求，作为发布部署的前置条件。[ST14.3-Ⅰ]测试数据不包含未经清洗的敏感数据，单个测试用例的执行不受其他测试用例结果的影响。[ST14.4-Ⅰ]基于安全隐私要求，有相应的安全隐私测试用例，并进行验证测试。[ST14.5-Ⅰ]测试过程有记录可查询，测试设计、执行端到端可追溯，对测试过程发现的问题可进行跟踪、闭环。[ST14.6-Ⅰ]具有明确的测试评估模型，对被测对象进行测试评估，并在测试报告中进行结果展示。[ST14.7-Ⅱ]测试用例、测试数据定期更新，满足不同阶段、环境的测试要求。[ST14.8-Ⅱ]/IT[ST14.9-Ⅱ]针对漏洞扫描结果可以自动通知研发人员，根据安全门限要求和企业管理要求，对于漏洞进行跟踪修复。[ST14.10-Ⅱ]采用主流的模糊测试工具，自动化进行模糊测试。[ST14.11-Ⅱ]同时可实现发布流程自动化，有相应的安全备份机制。安全发布（SR,Security同时可实现发