可信研发运营安全能力成熟度水位图报告.docx

目 录

一、整体概述 1

（一）安全研发态势严峻，影响深远 1

（二）安全左移成为业界常态 3

（三）研发运营安全能力成为企业核心竞争力之一 4

（四）中国信通院建立研发运营安全标准体系，持续开展评估工作 5

二、TSM可信研发运营安全能力成熟度水位图 8

（一）TSM水位图要素分为五大领域十七类子项 8

（二）开源治理与安全数据管理为目前企业安全体系建设短板10

（三）企业安全管理工作推进应关注四方面重点 16

（四）TSM水位图助力企业明确安全现状，完善改进计划 20

三、TSM水位图子项活动详解 25

（一）体系（System） 25

（二）要求（Requirements） 29

（三）设计（Design） 34

（四）控制（Control） 36

（五）数据（Data） 42

四、下一步工作计划 44

图目录

图12022年漏洞影响对象占比图 2

图2新型研发运营安全体系 4

图3不同修复阶段的修复成本 5

图4可信研发运营安全能力模型 6

图5TSM可信研发运营安全能力成熟度水位模型图 10

图6TSM可信研发运营安全能力成熟度水位图 14

图7示例企业TSM可信研发运营安全能力成熟度水位对比图 21

表目录

表1TSM可信研发运营安全能力成熟度水位图要素 8

表2TSM可信研发运营安全能力成熟度企业总体得分 11

表3TSM可信研发运营安全能力成熟度示例企业得分 22

一、整体概述

（一）安全研发态势严峻，影响深远

数字化时代，软件已经成为日常生产生活必备要素之一，渗透到各个重要行业和领域。随着数字化转型进程的推进，容器、中间件、微服务、DevOps等新技术理念的演进。软件行业在快速发展的同时，软件安全事件发生次数也呈逐年上升趋势。根据Splunk《2022年全球网络安全态势报告》，65%的受访者表示攻击者试图进行安全攻击的频率逐渐增多，64%的受访者表示近年的安全要求越来越高，难以达到，整体安全形势未有明显改善。

全球软件漏洞安全事件频发，对国家社会安全构成严峻挑战。

2022年，HP发现其OMEN驱动程序软件中存在一个严重漏洞（CVE-

2021-3437），允许威胁行为者在不需要管理员权限的情况下将权限提升到内核模式，从而进行禁用安全产品、覆盖系统组件，甚至执行破坏操作系统的操作，影响全球数百万台游戏计算机。Wormhole于2022年发现平台中存在一个安全漏洞，攻击者利用该漏洞成功窃取了价值3260万美元的加密货币。企业软件产品漏洞安全事件频发，软件安全问题层出不穷，严重危害国家、社会、个人信息安全。

软件应用服务自身安全漏洞被黑客利用攻击是是安全事件频发的关键诱因之一。根据Gartner统计数据显示，超过75%的安全攻击发生在代码应用层面。美国国家标准技术研究院（NIST）的统计数据显示92%的漏洞属于应用层而非网络层。在云原生应用导致的安全事

件中，利用内部开发代码中的已知漏洞进行的攻击占比37%，而未知的零日漏洞攻击占比27%。Verizon2023年的研究报告《DataBreachInvestigationsReport》总结了从2021年11月至2022年11月近6000起安全事件，结果显示漏洞利用是造成安全事件的前三途径之一。在所有调研的安全事件中，有关Web应用程序的事件占比80%，其中50%的Web应用程序安全事件是由未修补的漏洞造成的。《2022年网络安全漏洞态势报告》中将2022年漏洞按照影响对象进行统计，Web应用类漏洞占比最高，达到41.6%，其次是应用软件漏洞，占比22.3%，如图1所示。二者相加占比超过73%，充分说明安全漏洞大多存在于软件应用服务本身。

来源：H3C，2022年网络安全漏洞态势报告，2023年3月

图12022年漏洞影响对象占比图

企业研发运营安全能力不足，是导致漏洞引入的关键痛点。根据2022年8月Synopsys针对美国企业350名IT与网络安全人员的调研结果发现，45%的软件发布前未经过安全检查与测试，36%的开发

团队缺乏一致性安全流程，35%的版本部署到生产环境时存在漏洞，甚至有32%的开发人员直接跳过安全流程。此外，部分企业由于安全研发流程管控不足，代码包甚至未经测试就直接上线。由此可见，在业界研发能力不断增强的同时，研发运营安全能力的相对落后带来的安全隐患问题依然存在。

（二）安全左移成为业界常态

传统研发运营安全模式中，安全介入相对滞后。传统研发运营安全，针对服务应用自身的安全