可信研发运营安全能力成熟度水位图报告-云计算开源产业联盟.docx

TSM可信研发运营安全能力成熟度云计算开源产业联盟OpenSourceCloud

TSM可信研发运营安全能力成熟度

云计算开源产业联盟

OpenSourceCloudAllianceindustry

版权声明

本报告版权属于云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：云计算开源产业联盟”。违反上述声明者，本联盟将追究其相关法律责任。

报告在编写过程中，历经概念策划、提纲设计、内容起草、征求意见等阶段，得到了中国信息通信研究院云计算与大数据研究所和华为技术有限公司的大力支持，在此一并致谢。

引言

“安全左移”理念已诞生多年，安全左移强调进行安全早期介入，贯穿软件服务全生命周期，一方面将实现风险安全可控，做到风险漏洞早发现、早修复，降低成本，提高收益；另一方面将反向推动企业建立安全文化，提升研发、运营、安全团队协作意识。中国信息通信研究院自2019年起，牵头推进《可信研发运营安全能力成熟度模型》标准制定，并依据标准开展评估测试，目前已有包括金融、汽车、互联网、运营商、软件厂商、安全厂商在内的30余家企业通过评估。本次相关团队分析评估细节，整理形成《TSM可信研发运营安全能力成熟度水位图报告》，旨在绘制TSM整体评估水位图，为企业提供参考，同时帮助企业对标业界优秀实践，将自身安全能力量化，探索构筑符合企业自身情况的全生命周期研发运营安全体系，提升企业产品市场竞争力。

本报告首先明确TSM（全称：TrustworthyevaluationofSecuritymaturityModel）可信研发运营安全能力成熟度工作背景，梳理国内外研发运营安全现状并介绍中国信息通信研究院可信研发运营安全能力成熟度工作概况。其次，从五大领域十七类子项详细介绍TSM水位图构成，明确水位图绘制依据。此外，报告团队对30余家企业TSM评估情况进行分析，指出目前企业研发运营安全体系建设短板与优势并给出关注重点。最后，指出TSM水位图助力企业明确安全现状，

完善改进计划。报告团队也将从完善TSM评估细节、优化报告内容、丰富行业数据、建立用户反馈机制四方面持续完善《TSM可信研发运营安全能力成熟度水位图报告》，助力业界可信安全生态建设。

目录

一、整体概述 1

（一）安全研发态势严峻，影响深远 1

（二）安全左移成为业界常态 3

（三）研发运营安全能力成为企业核心竞争力之一 4

（四）中国信通院建立研发运营安全标准体系，持续开展评估工

作 5

二、TSM可信研发运营安全能力成熟度水位图 8

（一）TSM水位图要素分为五大领域十七类子项 8

（二）开源治理与安全数据管理为目前企业安全体系建设短板10

（三）企业安全管理工作推进应关注四方面重点 16

（四）TSM水位图助力企业明确安全现状，完善改进计划 20

三、TSM水位图子项活动详解 25

（一）体系（System） 25

（二）要求（Requirements） 29

（三）设计（Design） 34

（四）控制（Control） 36

（五）数据（Data） 42

四、下一步工作计划 44

图目录

图12022年漏洞影响对象占比图 2

图2新型研发运营安全体系 4

图3不同修复阶段的修复成本 5

图4可信研发运营安全能力模型 6

图5TSM可信研发运营安全能力成熟度水位模型图 10

图6TSM可信研发运营安全能力成熟度水位图 14

图7示例企业TSM可信研发运营安全能力成熟度水位对比图 21

表目录

表1TSM可信研发运营安全能力成熟度水位图要素 8

表2TSM可信研发运营安全能力成熟度企业总体得分 11

表3TSM可信研发运营安全能力成熟度示例企业得分 22

1

1/45

一、整体概述

（一）安全研发态势严峻，影响深远

数字化时代，软件已经成为日常生产生活必备要素之一，渗透到各个重要行业和领域。随着数字化转型进程的推进，容器、中间件、微服务、DevOps等新技术理念的演进。软件行业在快速发展的同时，软件安全事件发生次数也呈逐年上升趋势。根据Splunk《2022年全球网络安全态势报告》，65%的受访者表示攻击者试图进行安全攻击的频率逐渐增多，64%的受访者表示近年的安全要求越来越高，难以达到，整体安全形势未有明显改善。

全球软件漏洞安全事件频发