可信研发运营安全能力成熟度水位图报告

TSM可信研发运营安全能力成熟度 水位图报告 （2023年） 云计算开源产业联盟 OpenSourceCloudAllianceforindustry，OSCAR 2023年12月 版权声明 本报告版权属于云计算开源产业联盟，并受法律保护。转载、 摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：云计算开源产业联盟”。违反上述声明者，本联盟将追究其相关法律责任。 报告在编写过程中，历经概念策划、提纲设计、内容起草、 征求意见等阶段，得到了中国信息通信研究院云计算与大数据研究所和华为技术有限公司的大力支持，在此一并致谢。 引言 “安全左移”理念已诞生多年，安全左移强调进行安全早期介入，贯穿软件服务全生命周期，一方面将实现风险安全可控，做到风险漏洞早发现、早修复，降低成本，提高收益；另一方面将反向推动企业建立安全文化，提升研发、运营、安全团队协作意识。中国信息通信研究院自2019年起，牵头推进《可信研发运营安全能力成熟度模型》标准制定，并依据标准开展评估测试，目前已有包括金融、汽车、互联网、运营商、软件厂商、安全厂商在内的30余家企业通过评估。本次相关团队分析评估细节，整理形成《TSM可信研发运营安全能力成熟度水位图报告》，旨在绘制TSM整体评估水位图，为企业提供参考，同时帮助企业对标业界优秀实践，将自身安全能力量化，探索构筑符合企业自身情况的全生命周期研发运营安全体系，提升企业产品市场竞争力。 本报告首先明确TSM（全称：TrustworthyevaluationofSecuritymaturityModel）可信研发运营安全能力成熟度工作背景，梳理国内外研发运营安全现状并介绍中国信息通信研究院可信研发运营安全能力成熟度工作概况。其次，从五大领域十七类子项详细介绍TSM水位图构成，明确水位图绘制依据。此外，报告团队对30余家企业TSM评估情况进行分析，指出目前企业研发运营安全体系建设短板与优势并给出关注重点。最后，指出TSM水位图助力企业明确安全现状， 完善改进计划。报告团队也将从完善TSM评估细节、优化报告内容、丰富行业数据、建立用户反馈机制四方面持续完善《TSM可信研发运营安全能力成熟度水位图报告》，助力业界可信安全生态建设。 目录 一、整体概述1 （一）安全研发态势严峻，影响深远1 （二）安全左移成为业界常态3 （三）研发运营安全能力成为企业核心竞争力之一4 （四）中国信通院建立研发运营安全标准体系，持续开展评估工作5 二、TSM可信研发运营安全能力成熟度水位图8 （一）TSM水位图要素分为五大领域十七类子项8 （二）开源治理与安全数据管理为目前企业安全体系建设短板10 （三）企业安全管理工作推进应关注四方面重点16 （四）TSM水位图助力企业明确安全现状，完善改进计划20 三、TSM水位图子项活动详解25 （一）体系（System）25 （二）要求（Requirements）29 （三）设计（Design）34 （四）控制（Control）36 （五）数据（Data）42 四、下一步工作计划44 图目录 图12022年漏洞影响对象占比图2 图2新型研发运营安全体系4 图3不同修复阶段的修复成本5 图4可信研发运营安全能力模型6 图5TSM可信研发运营安全能力成熟度水位模型图10 图6TSM可信研发运营安全能力成熟度水位图14 图7示例企业TSM可信研发运营安全能力成熟度水位对比图21 表目录 表1TSM可信研发运营安全能力成熟度水位图要素8 表2TSM可信研发运营安全能力成熟度企业总体得分11 表3TSM可信研发运营安全能力成熟度示例企业得分22 一、整体概述 （一）安全研发态势严峻，影响深远 数字化时代，软件已经成为日常生产生活必备要素之一，渗透到各个重要行业和领域。随着数字化转型进程的推进，容器、中间件、微服务、DevOps等新技术理念的演进。软件行业在快速发展的同时，软件安全事件发生次数也呈逐年上升趋势。根据Splunk《2022年全球网络安全态势报告》，65%的受访者表示攻击者试图进行安全攻击的频率逐渐增多，64%的受访者表示近年的安全要求越来越高，难以达到，整体安全形势未有明显改善。 全球软件漏洞安全事件频发，对国家社会安全构成严峻挑战。 2022年，HP发现其OMEN驱动程序软件中存在一个严重漏洞（CVE- 2021-3437），允许威胁行为者在不需要管理员权限的情况下将权限提升到内核模式，从而进行禁用安全产品、覆盖系统组件，甚至执行破坏操作系统的操作，影响全球数百万台游戏计算机。Wormhole于2022年发现平台中存在一个安全漏洞，攻击者利用该漏洞成功窃取了价值3260万美元的加密货币。企业软件产品漏洞安全事件频发，软件安全问题层出不穷，严重危害国家、社会、个人信息安全。 软件应用服务自身安全漏洞被黑客利用攻击是是安全事件频发的关键诱因之一。根据Gartner统计数据显示，超过75%的安全攻击发生在代码应用层面。美国国家标准技术研究院（NIST）的统计数据显示92%的漏洞属于应用层而非网络层。在云原生应用导致的安全事 件中，利用内部开发代码中的已知漏洞进行的攻击占比37%，而未知的零日漏洞攻击占比27%。Verizon2023年的研究报告《DataBreachInvestigationsReport》总结了从2021年11月至2022年11月近6000起安全事件，结果显示漏洞利用是造成安全事件的前三途径之一。在所有调研的安全事件中，有关Web应用程序的事件占比80%，其中50%的Web应用程序安全事件是由未修补的漏洞造成的。《2022年网络安全漏洞态势报告》中将2022年漏洞按照影响对象进行统计，Web应用类漏洞占比最高，达到41.6%，其次是应用软件漏洞，占比22.3%，如图1所示。二者相加占比超过73%，充分说明安全漏洞大多存在于软件应用服务本身。 来源：H3C，2022年网络安全漏洞态势报告，2023年3月 图12022年漏洞影响对象占比图 企业研发运营安全能力不足，是导致漏洞引入的关键痛点。根据2022年8月Synopsys针对美国企业350名IT与网络安全人员的调研结果发现，45%的软件发布前未经过安全检查与测试，36%的开发 团队缺乏一致性安全流程，35%的版本部署到生产环境时存在漏洞，甚至有32%的开发人员直接跳过安全流程。此外，部分企业由于安全研发流程管控不足，代码包甚至未经测试就直接上线。由此可见，在业界研发能力不断增强的同时，研发运营安全能力的相对落后带来的安全隐患问题依然存在。 （二）安全左移成为业界常态 传统研发运营安全模式中，安全介入相对滞后。传统研发运营安全，针对服务应用自身的安全漏洞检测修复，通常是在系统搭建或者功能模块构建完成以及服务应用上线运营之后，安全介入，进行安全扫描，威胁漏洞修复。如当前的大多安全手段，防病毒、防火墙、入侵检测等，都是关注软件交付运行之后的安全问题，属于被动防御性手段。这种模式便于软件应用服务的快速研发部署，但安全介入相对滞后，并无法覆盖研发阶段代码层面的安全，安全测试范围相对有限，安全漏洞修复成本也更大。降低潜在的安全风险，进行安全左移已成行业共识。新型研发运营安全体系强调安全左移，暨在软件开发生命周期的早期阶段就引入安全，这并不意味着安全合规只是早期嵌入到研发流程中，而是始终存在于研发流程的每个步骤，以确保在整个开发过程中安全性得到充分考虑和实现，如图2所示。这种方式可以大大减少在软件开发后期或发布后发现安全漏洞和风险的可能性，从而降低成本和风险，全方面提升服务应用安全。现阶段安全左移工作投入不足，企业研发运营安全体系建设缓慢。根据DeepInstinct《网络 安全生命周期中预防的经济价值》研究显示，安全左移这项动作的价值凸显，但总体投入不足，以网络钓鱼攻击为例，企业平均总投入成本为832,500美元，其中82%用于检测、遏制、恢复和补救，只有18%用于预防该类安全攻击。造成该类结果的核心因素是企业未完全将安全左移作为组织级策略、安全投入与重视度不足、安全类人才紧缺等。 来源：中国信息通信研究院 图2新型研发运营安全体系 （三）研发运营安全能力成为企业核心竞争力之一 企业建设研发运营安全体系进行安全左移，有助于降低安全问题修复成本。代码是软件应用服务开发的最初形态，其缺陷或漏洞是导致安全问题的直接根源，尽早发现源码缺陷能够大大降低安全问题的修复成本。根据美国国家标准与技术研究所（NIST）统计，在发布后执行代码修复，其修复成本相当于在设计阶段执行修复的30倍。具体数据如图3所示。IBM和HP研究数据显示成本相差在30到50倍之间，而Fortify认为在软件需求分析阶段就开始避免漏洞的成本比发布后修复成本低100倍。安全左移助力企业排除安全隐患、减少安全事故发生率、提升交付效率。企业通过前置安全工作使得在设计开发阶段就关注安全问题，能够节约大量资源，同时避免上线部署发现 4/45 问题后付出高昂的修复成本。建设研发运营安全体系可加速项目的交付效率，通过早期发现安全问题，避免后期的返工与修改。较高的研发安全运营水平可帮助企业提升市场竞争力与信任度。现阶段，软件需求方不仅会验证交付物的安全，更会优先选择研发运营安全能力优秀的企业作为其供应商，软件供应商建设自身研发运营安全能力、实践安全左移逐步成为提高市场认可的必经之路。 来源：美国国家标准与技术研究所（NIST） 图3不同修复阶段的修复成本 （四）中国信通院建立研发运营安全标准体系，持续开展评估工作 中国信通院牵头制定研发运营安全标准体系，构建可信研发运营安全能力成熟度模型。可信研发运营安全是指在涉及需求、设计、研发、验证、发布、运营、下线的软件应用服务全生命周期之中，从初期便引入安全，采取相关技术与管理手段，避免漏洞与威胁的产生，加固应用服务安全，提升软件质量安全。中国信通院自2019年起，牵头推进《可信研发运营安全能力成熟度模型》标准制定，广泛邀请 包括金融、互联网、运营商、软件厂商、安全厂商、工具厂商等各行业领域专家参与，调研参考业界优秀实践经验，覆盖应用服务全生命周期，搭建通用可信研发运营安全体系架构，抽取关键安全要素，建立可信研发运营安全能力成熟度模型，见图4。 来源：中国信息通信研究院 图4可信研发运营安全能力模型 标准覆盖应用服务全生命周期安全，强调安全左移。标准结合人员管理体系和制度流程，从需求分析设计、编码阶段便引入安全，覆盖软件应用服务全生命周期，整体提升安全性。可信研发运营安全体系具有四大特点，一是覆盖范围更广，延伸至下线停用阶段，覆盖软件应用服务全生命周期。二是更具普适性，抽取关键要素，不依托于任何开发模式与体系。三是不止强调安全工具，同样注重安全管理，强化人员安全能力。四是进行运营安全数据反馈，形成安全闭环，不断优化流程实践。 中国信通院依据标准开展测试评估工作，目前已有多家企业通过相关评估。TSM评估依据《可信研发运营安全能力成熟度模型》标准展开，划分为管理制度以及要求阶段、安全需求分析阶段、设计阶段、开发阶段、验证阶段、发布阶段、运营阶段、停用下线阶段9个子域，具体指标项包括组织架构、制度流程、安全培训、第三方管理、安全门限要求、项目角色及权限管理、安全审计、环境管理、配置管理、变更管理等38大子项，根据各领域指标项分级能力要求，将企业整体研发运营安全能力划分为基础级、增强级、先进级三个级别。目前已有包括金融、汽车、互联网、运营商、软件厂商、安全厂商在内的30余家企业通过评估。 企业可通过参与评估，从三大角度助力企业建设可信研发运营安全体系，提升企业安全管理水平。一是对标业界优秀实践，帮助企业构筑全生命周期安全体系。标准制定过程参考调研大量业界已有优秀实践，通过参评对标业界优秀实践，同时与同行业企业对比，探索构筑符合企业自身情况的全生命周期安全体系，提升企业自身市场竞争力。二是量化企业安全水平，明确企业安全现状和后续改进计划。企业通过参与评估将自身安全水平进行量化，明确企业在同行业中