版權(quán)聲明司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司的大力支持，在此一并致力。報告首先明確TSM（全稱：TrustworthyevaluationofSecurity周期的關(guān)鍵活動與技術(shù)演進。最后，報告團隊 1 1 3 6 6（二）TSM水位圖作用：助力企業(yè)量化安全建設(shè)能力，明確改進計劃 8 9 9（二）TSM水位圖結(jié)果 12（三）TSM水位圖結(jié)果分析 15 21 21 25 28 28 33 52 4 8 10 11 11 15 19 6 12 52一、整體概述（一）研發(fā)運營安全問題凸顯，影響廣泛全廠商BeyondTrust的遠程支持服務(wù)中的API密鑰漏洞成功訪問軟件供應(yīng)鏈存在的諸多漏洞成為軟件安全生態(tài)主要攻擊入口。企業(yè)研發(fā)運營安全管理與能力不足是軟件安全漏洞產(chǎn)生的關(guān)鍵的關(guān)鍵安全債務(wù)來自第三方代碼與供應(yīng)鏈，平均漏洞修復(fù)周期延長NISTSP800-218還被納入全開發(fā)實踐。GB/T43698-2024《網(wǎng)絡(luò)安全技術(shù)軟件供應(yīng)鏈安全要求》（二）TSM可信研發(fā)運營安全能力成熟度相關(guān)工作介紹門限要求、項目角色及權(quán)限管理、安全審計、環(huán)信研發(fā)運營安全能力成熟度評估意味企業(yè)組織內(nèi)部已建立研發(fā)運營二、TSM水位圖介紹（一）TSM水位圖框架：覆蓋軟件開發(fā)全生命TSM水位圖框架由報告團隊依據(jù)《可信研發(fā)運營安全能力成熟123456789營安全實踐中實施的各種安全控制措施，包括開源治理、安全編碼、TSM可信研發(fā)運營安全能力水位圖情況結(jié)果使用蛛網(wǎng)圖進行表（二）TSM水位圖作用：助力企業(yè)量化安全建設(shè)能力，明確改進計劃TSM可信研發(fā)運營安全能力水位圖作為一種直觀有效的可視化三、TSM水位圖結(jié)果分析求9析營理7（三）TSM水位圖結(jié)果分析1.TSM水位圖2.0結(jié)果分析安全組織從戰(zhàn)略高度自上而下推動可信研發(fā)運營安全體系建設(shè)，安全數(shù)據(jù)管理重點關(guān)注研發(fā)運營過程中產(chǎn)生的安全相關(guān)數(shù)據(jù)的2.與TSM水位圖1.0對比分析工具的使用力度，大多數(shù)企業(yè)采用微軟的Mic近兩年，隨著企業(yè)對開源治理的投入加大，逐步組建開源治理團隊，組件信息庫，并為軟件產(chǎn)品生成軟件物料清單，將軟件的構(gòu)成元素、四、可信研發(fā)運營安全關(guān)鍵活動演進（一）人員層面：安全文化建設(shè)與協(xié)同機制逐步完善多方協(xié)同”的方向深度演化。安全管理組織是企業(yè)研發(fā)運營落地的關(guān)鍵，傳統(tǒng)安全組織主要由安全測試人員組成，且包含安全決策、管理、執(zhí)行這些上下貫通的虛擬組織，具責(zé)，成立安全委員會等相關(guān)組織，為管理層做具架構(gòu)師、安全研發(fā)人員、安全測試人員等負責(zé)具通協(xié)作效率低。安全人員僅在項目后期介入，導(dǎo)同的“閉環(huán)生態(tài)”。根據(jù)調(diào)研結(jié)果，企業(yè)建立的“管理層-中間層-執(zhí)行審核、評估等流程多為“事后審批”，安全團隊主要承擔(dān)“救火”角色，當(dāng)前多數(shù)頭部企業(yè)已逐步實現(xiàn)從化“被動響應(yīng)”為“主動預(yù)防”的（二）流程層面：從階段管控到自動化常態(tài)化躍進可信研發(fā)運營安全工作正從“階段式安全管控”向“自動化常態(tài)化”務(wù)場景的具體分析。安全團隊在需求階段往往只是簡單標(biāo)注“需要滿足某某標(biāo)準(zhǔn)”，而不會深入分析業(yè)務(wù)面臨的實際風(fēng)險。而企業(yè)目前安統(tǒng)上線前也需完成安全需求檢查表，作為系統(tǒng)發(fā)布上線的前置條件。二是開源治理流程規(guī)范化。早期，企業(yè)對開源組件大多采用“開放式”管理，開發(fā)人員從外部自行下載需要使用的開源組件，待測試機制以應(yīng)對安全問題和更新需求，持續(xù)關(guān)注軟件的更新和版本迭代，工具對開源軟件進行深度安全檢測，定期進行漏洞掃描和代碼審查。所有業(yè)務(wù)場景），通過提取“越權(quán)漏洞”的業(yè)務(wù)特征（如“查詢類接（三）技術(shù)層面：實現(xiàn)從被動響應(yīng)到安全前置的能力升級研發(fā)運營安全已實現(xiàn)由“補丁式人工應(yīng)急”向“前置式智能防在代碼提交、構(gòu)建或部署過程中，可自動觸發(fā)靜態(tài)應(yīng)用安全測試場景下的需求。企業(yè)應(yīng)在工具使用前確認其功能、性能、參合適的測試工具。五、下一步工作計劃3S-Lab軟件供應(yīng)鏈安全實驗室，深化與業(yè)界合作，持續(xù)開展TSM評（一）體系（System）1.安全組織（SO,SecurityOrganization）2.制度流程（RP,RegulationsandProcess）3.培訓(xùn)賦能（TE,TrainingandEmpower）培訓(xùn)賦能主要考察企業(yè)具備明確的安全相關(guān)培訓(xùn)管理辦法與實培訓(xùn)賦能主要考察企業(yè)具備明確的安全相關(guān)培訓(xùn)管理辦法與實[TE3.6-Ⅱ]按需提供個人培訓(xùn)，提供平臺進行安全知識持續(xù)學(xué)4.標(biāo)準(zhǔn)規(guī)范（SS,StandardandSpecifications）標(biāo)準(zhǔn)規(guī)范主要考察企業(yè)有明確的安全研發(fā)全生命周期的制度文（二）要求（Requirements）5.安全門限要求（STR,SecurityTresholdRequirements）Management）7.安全審計（SA,SecurityAudit）運營人員以及第三方合作商以及第三方合作人員的相關(guān)操作行為進[SA7.3-Ⅱ]定期對于第三方合作商以及第三方合作人員進行安[SA7.4-Ⅱ]針對審計日志進行自動化與人工審計，對于審計記8.環(huán)境安全（ES,EnvironmentSafety）[ES8.8-Ⅱ]針對不同的業(yè)務(wù)場景以及架構(gòu)，對Management）在軟件研發(fā)運營全生命周期各階段針對系統(tǒng)中的配置項進行審計確包括但不限于功能變更、缺陷修補。（三）設(shè)計（Design）10.安全需求分析（SRA,SecurityRequirementsAnalysis）安全需求分析指在系統(tǒng)或軟件的開發(fā)過程中明確定義和識別與[SRA10.3-Ⅱ]持續(xù)更新完善安全需求清單，[SRA10.5-Ⅱ]具有公司級的統(tǒng)一的安全需求知識11.安全設(shè)計（SD,SecurityDesign）[SD11.5-Ⅰ]針對識別出的關(guān)鍵攻擊面和關(guān)鍵風(fēng)險點進行分析[SD11.10-Ⅱ]有明確的威脅建模流程，包括但不限于確定安全[SD11.12-Ⅱ]基于產(chǎn)品領(lǐng)域初始架構(gòu)和產(chǎn)品領(lǐng)域高危暴露面，12.開源治理（OG,OpensourceGovernance）[OG12.6-Ⅱ]項目服務(wù)所利用的開源組件只能從唯一的可信開13.安全編碼（SC,SecureCoding）14.安全測試（ST,SecurityTesting）15.安全發(fā)布（SR,SecurityRelease）16.安全監(jiān)控運營（SMO,SecurityMonitoringOperations）[SMO16.2-Ⅰ]具有抵御常見威脅攻擊的能力，包括但不限于[SMO16.10-Ⅱ]對于應(yīng)急響應(yīng)事件可以實現(xiàn)一定程度上的自動（五）數(shù)據(jù)（Data）17.安全數(shù)據(jù)管理（SDM,SecurityDataManagement）安全數(shù)據(jù)管理指對企業(yè)內(nèi)涉及安全的各類數(shù)據(jù)進行統(tǒng)一收集管[SDM17.8-Ⅱ]對于應(yīng)急事件及時復(fù)盤，形成相關(guān)處理知識庫。附錄2：TSM企業(yè)能力自評表