TSM可信研发运营安全能力水位图2.02025

版权声明司、北京天融信网络安全技术有限公司的大力支持，在此一并致力。报告首先明确TSM（全称：TrustworthyevaluationofSecurity周期的关键活动与技术演进。最后，报告团队 1 1 3 6 6（二）TSM水位图作用：助力企业量化安全建设能力，明确改进计划 8 9 9（二）TSM水位图结果 12（三）TSM水位图结果分析 15 21 21 25 28 28 33 52 4 8 10 11 11 15 19 6 12 52一、整体概述（一）研发运营安全问题凸显，影响广泛全厂商BeyondTrust的远程支持服务中的API密钥漏洞成功访问软件供应链存在的诸多漏洞成为软件安全生态主要攻击入口。企业研发运营安全管理与能力不足是软件安全漏洞产生的关键的关键安全债务来自第三方代码与供应链，平均漏洞修复周期延长NISTSP800-218还被纳入全开发实践。GB/T43698-2024《网络安全技术软件供应链安全要求》（二）TSM可信研发运营安全能力成熟度相关工作介绍门限要求、项目角色及权限管理、安全审计、环信研发运营安全能力成熟度评估意味企业组织内部已建立研发运营二、TSM水位图介绍（一）TSM水位图框架：覆盖软件开发全生命TSM水位图框架由报告团队依据《可信研发运营安全能力成熟123456789营安全实践中实施的各种安全控制措施，包括开源治理、安全编码、TSM可信研发运营安全能力水位图情况结果使用蛛网图进行表（二）TSM水位图作用：助力企业量化安全建设能力，明确改进计划TSM可信研发运营安全能力水位图作为一种直观有效的可视化三、TSM水位图结果分析求9析营理7（三）TSM水位图结果分析1.TSM水位图2.0结果分析安全组织从战略高度自上而下推动可信研发运营安全体系建设，安全数据管理重点关注研发运营过程中产生的安全相关数据的2.与TSM水位图1.0对比分析工具的使用力度，大多数企业采用微软的Mic近两年，随着企业对开源治理的投入加大，逐步组建开源治理团队，组件信息库，并为软件产品生成软件物料清单，将软件的构成元素、四、可信研发运营安全关键活动演进（一）人员层面：安全文化建设与协同机制逐步完善多方协同”的方向深度演化。安全管理组织是企业研发运营落地的关键，传统安全组织主要由安全测试人员组成，且包含安全决策、管理、执行这些上下贯通的虚拟组织，具责，成立安全委员会等相关组织，为管理层做具架构师、安全研发人员、安全测试人员等负责具通协作效率低。安全人员仅在项目后期介入，导同的“闭环生态”。根据调研结果，企业建立的“管理层-中间层-执行审核、评估等流程多为“事后审批”，安全团队主要承担“救火”角色，当前多数头部企业已逐步实现从化“被动响应”为“主动预防”的（二）流程层面：从阶段管控到自动化常态化跃进可信研发运营安全工作正从“阶段式安全管控”向“自动化常态化”务场景的具体分析。安全团队在需求阶段往往只是简单标注“需要满足某某标准”，而不会深入分析业务面临的实际风险。而企业目前安统上线前也需完成安全需求检查表，作为系统发布上线的前置条件。二是开源治理流程规范化。早期，企业对开源组件大多采用“开放式”管理，开发人员从外部自行下载需要使用的开源组件，待测试机制以应对安全问题和更新需求，持续关注软件的更新和版本迭代，工具对开源软件进行深度安全检测，定期进行漏洞扫描和代码审查。所有业务场景），通过提取“越权漏洞”的业务特征（如“查询类接（三）技术层面：实现从被动响应到安全前置的能力升级研发运营安全已实现由“补丁式人工应急”向“前置式智能防在代码提交、构建或部署过程中，可自动触发静态应用安全测试场景下的需求。企业应在工具使用前确认其功能、性能、参合适的测试工具。五、下一步工作计划3S-Lab软件供应链安全实验室，深化与业界合作，持续开展TSM评（一）体系（System）1.安全组织（SO,SecurityOrganization）2.制度流程（RP,RegulationsandProcess）3.培训赋能（TE,TrainingandEmpower）培训赋能主要考察企业具备明确的安全相关培训管理办法与实培训赋能主要考察企业具备明确的安全相关培训管理办法与实[TE3.6-Ⅱ]按需提供个人培训，提供平台进行安全知识持续学4.标准规范（SS,StandardandSpecifications）标准规范主要考察企业有明确的安全研发全生命周期的制度文（二）要求（Requirements）5.安全门限要求（STR,SecurityTresholdRequirements）Management）7.安全审计（SA,SecurityAudit）运营人员以及第三方合作商以及第三方合作人员的相关操作行为进[SA7.3-Ⅱ]定期对于第三方合作商以及第三方合作人员进行安[SA7.4-Ⅱ]针对审计日志进行自动化与人工审计，对于审计记8.环境安全（ES,EnvironmentSafety）[ES8.8-Ⅱ]针对不同的业务场景以及架构，对Management）在软件研发运营全生命周期各阶段针对系统中的配置项进行审计确包括但不限于功能变更、缺陷修补。（三）设计（Design）10.安全需求分析（SRA,SecurityRequirementsAnalysis）安全需求分析指在系统或软件的开发过程中明确定义和识别与[SRA10.3-Ⅱ]持续更新完善安全需求清单，[SRA10.5-Ⅱ]具有公司级的统一的安全需求知识11.安全设计（SD,SecurityDesign）[SD11.5-Ⅰ]针对识别出的关键攻击面和关键风险点进行分析[SD11.10-Ⅱ]有明确的威胁建模流程，包括但不限于确定安全[SD11.12-Ⅱ]基于产品领域初始架构和产品领域高危暴露面，12.开源治理（OG,OpensourceGovernance）[OG12.6-Ⅱ]项目服务所利用的开源组件只能从唯一的可信开13.安全编码（SC,SecureCoding）14.安全测试（ST,SecurityTesting）15.安全发布（SR,SecurityRelease）16.安全监控运营（SMO,SecurityMonitoringOperations）[SMO16.2-Ⅰ]具有抵御常见威胁攻击的能力，包括但不限于[SMO16.10-Ⅱ]对于应急响应事件可以实现一定程度上的自动（五）数据（Data）17.安全数据管理（SDM,SecurityDataManagement）安全数据管理指对企业内涉及安全的各类数据进行统一收集管[SDM17.8-Ⅱ]对于应急事件及时复盘，形成相关处理知识库。附录2：TSM企业能力自评表