可信研發(fā)運營安全能力成熟度水位圖報告

目 錄一、整概述 1（一）全研勢嚴(yán)峻影響遠 1（二）全左為業(yè)界態(tài) 3（三）發(fā)運全能力為企心競爭之一 4（四）國信建立研運營標(biāo)準(zhǔn)體，持展評估工作 二、TSM可研運營安能力度水位圖 8（一）TSM位要素分五大十七類項 8（二）10（三）業(yè)安理工作進應(yīng)四方面點 16（四）TSM位助力企明確現(xiàn)狀，善改劃 20三、TSM水圖項活動解 25（一）系（System） 25（二）求（Requirements） 29（三）計（Design） 34（四）制（Control） 36（五）據(jù)（Data） 42四、下步工劃 44圖目錄圖12022漏洞響對象比圖 2圖2新型發(fā)運安全體系 4圖3不同復(fù)階的修復(fù)本 5圖4可信發(fā)運安全能模型 6圖5TSM可研運營安能力度水位型圖 10圖6TSM可研運營安能力度水位圖 14圖7示例業(yè)TSM可信研運營全能力熟度對比圖 21表目錄表1TSM可研運營安能力度水位要素 8表2TSM可研運營安能力度企業(yè)體得分 表3TSM可研運營安能力度示例業(yè)得分 22一、整體概述（一）安全研發(fā)態(tài)勢嚴(yán)峻，影響深遠DevOpsSplunk《2022年全全球軟件漏洞安全事件頻發(fā)，對國家社會安全構(gòu)成嚴(yán)峻挑戰(zhàn)。222P發(fā)現(xiàn)其N（C-20223260軟件應(yīng)用服務(wù)自身安全漏洞被黑客利用攻擊是是安全事件頻發(fā)Gartner92%27%。2023DataBreachInvestigationsReport20212022600080%，其中50%2022年2022173%來源：H3C，2022年網(wǎng)絡(luò)安全漏洞態(tài)勢報告，2023年3月圖12022年漏洞影響對象占比圖20228Synopsys350IT45%36%團隊缺乏一致性安全流程，35%的版本部署到生產(chǎn)環(huán)境時存在漏洞，32%（二）安全左移成為業(yè)界常態(tài)2DeepInstinct《網(wǎng)絡(luò)832,50082%18%圖2新型研發(fā)運營安全體系（三）研發(fā)運營安全能力成為企業(yè)核心競爭力之一30倍。具3IBMHP3050倍Fortify100來源：美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）圖3不同修復(fù)階段的修復(fù)成本（四）中國信通院建立研發(fā)運營安全標(biāo)準(zhǔn)體系，持續(xù)開展評估工作20194。來源：中國信息通信研究院圖4可信研發(fā)運營安全能力模型TSM9個子域，38企二、TSM可信研發(fā)運營安全能力成熟度水位圖（一）TSM水位圖要素分為五大領(lǐng)域十七類子項TSM5175171）2）制度10）安全需求分析、安全設(shè)計、12）開源治理、13）安全編碼、14）安全測試、15）安全發(fā)布、16）安全監(jiān)控運營、17）安全數(shù)據(jù)管理，具體如表1所示。表1TSM可信研發(fā)運營安全能力成熟度水位圖要素領(lǐng)域序號指標(biāo)英文縮寫體系（System）1安全組織SO2制度流程RP3培訓(xùn)賦能TE4標(biāo)準(zhǔn)規(guī)范SS要求（Requirements）5安全門限要求STR6身份與訪問管理IAM7安全審計SA8環(huán)境安全ES9變更升級和配置管理CCM設(shè)計（Design）10安全需求分析SRA11安全設(shè)計SD控制（Control）12開源治理OG13安全編碼SC14安全測試ST15安全發(fā)布SR16安全監(jiān)控運營SMO數(shù)據(jù)（Data）17安全數(shù)據(jù)管理SDM來源：中國信息通信研究院其中體系要求控制17目前企業(yè)評估水位圖情況結(jié)果使用蛛網(wǎng)圖進行表示，具有17根5517根軸線代表TSM1750-10來源：中國信息通信研究院圖5TSM可信研發(fā)運營安全能力成熟度水位模型圖（二）開源治理與安全數(shù)據(jù)管理為目前企業(yè)安全體系建設(shè)短板26TSM2所示。表2TSM可信研發(fā)運營安全能力成熟度企業(yè)總體得分體系（System）安全組織考察項企業(yè)得分考察項企業(yè)得分[SO1.1-Ⅰ]26[SO1.2-Ⅱ]16[SO1.3-Ⅱ]16[SO1.4-Ⅱ]16[SO1.5-Ⅱ]16制度流程[RP2.1-Ⅰ]18[RP2.2-Ⅰ]22[RP2.3-Ⅰ]26[RP2.4-Ⅰ]23[RP2.5-Ⅰ]25[RP2.6-Ⅱ]16[RP2.7-Ⅱ]15培訓(xùn)賦能[TE3.1-Ⅰ]26[TE3.2-Ⅰ]26[TE3.3-Ⅰ]26[TE3.4-Ⅰ]26[TE3.5-Ⅱ]14[TE3.6-Ⅱ]16[TE3.7-Ⅱ]13標(biāo)準(zhǔn)規(guī)范[SS4.1-Ⅰ]26[SS4.2-Ⅰ]25[SS4.3-Ⅰ]26[SS4.4-Ⅱ]14[SS4.5-Ⅱ]16[SS4.6-Ⅱ]15[SS4.7-Ⅱ]26要求（Requirements）安全門限要求[STR5.1-Ⅰ]22[STR5.2-Ⅱ]14[STR5.3-Ⅱ]16身份與訪問管理[IAM6.1-Ⅰ]26[IAM6.2-Ⅰ]26[IAM6.3-Ⅰ]26[IAM6.4-Ⅰ]25[IAM6.5-Ⅰ]26[IAM6.6-Ⅱ]15[IAM6.7-Ⅱ]12安全審計[SA7.1-Ⅰ]26[SA7.1-Ⅰ]26[SA7.3-Ⅱ]12[SA7.4-Ⅱ]15[SA7.5-Ⅱ]15環(huán)境安全[ES8.1-Ⅰ]25[ES8.2-Ⅰ]23[ES8.3-Ⅰ]26[ES8.4-Ⅰ]25[ES8.5-Ⅰ]26[ES8.6-Ⅱ]15[ES8.7-Ⅱ]15[ES8.8-Ⅱ]13變更升級和配置管理[CCM9.1-Ⅰ]26[CCM9.2-Ⅰ]26[CCM9.3-Ⅰ]24[CCM9.4-Ⅰ]26[CCM9.5-Ⅰ]24[CCM9.6-Ⅰ]24[CCM9.7-Ⅰ]24[CCM9.8-Ⅰ]23[CCM9.9-Ⅱ]16[CCM9.10-Ⅱ]14[CCM9.11-Ⅱ]16[CCM9.12-Ⅱ]15[CCM9.13-Ⅱ]7[CCM9.14-Ⅱ]12設(shè)計（Design）安全需求分析[SRA10.1-Ⅰ]21[SRA10.2-Ⅰ]22[SRA10.3-Ⅱ]14[SRA10.4-Ⅱ]16[SRA10.5-Ⅱ]23安全設(shè)計[SD11.1-Ⅰ]25[SD11.2-Ⅰ]24[SD11.3-Ⅰ]23[SD11.4-Ⅰ]24[SD11.5-Ⅰ]24[SD11.6-Ⅱ]14[SD11.7-Ⅱ]13[SD11.8-Ⅱ]14[SD11.9-Ⅱ]15[SD11.10-Ⅱ]15[SD11.11-Ⅱ]11[SD11.12-Ⅱ]11控制（Control）開源治理[OG12.1-Ⅰ]22[OG12.2-Ⅰ]24[OG12.3-Ⅱ]17[OG12.4-Ⅱ]11[OG12.5-Ⅱ]13[OG12.6-Ⅱ]13[OG12.7-Ⅱ]15[OG12.8-Ⅱ]8[OG12.9-Ⅱ]15[OG12.10-Ⅱ]14[OG12.11-Ⅱ]14[OG12.12-Ⅱ]16安全編碼[SC13.1-Ⅰ]26[SC13.2-Ⅰ]24[SC13.3-Ⅰ]26[SC13.4-Ⅰ]26[SC13.5-Ⅰ]25[SC13.6-Ⅱ]11[SC13.7-Ⅱ]13[SxC13.8-Ⅱ]15安全測試[ST14.1-Ⅰ]26[ST14.2-Ⅰ]24[ST14.3-Ⅰ]24[ST14.4-Ⅰ]23[ST14.5-Ⅰ]26[ST14.6-Ⅰ]25[ST14.7-Ⅱ]15[ST14.8-Ⅱ]14[ST14.9-Ⅱ]16[ST14.10-Ⅱ]9[ST14.11-Ⅱ]15安全發(fā)布[SR15.1-Ⅰ]24[SR15.2-Ⅰ]26[SR15.3-Ⅰ]26[SR15.4-Ⅰ]26[SR15.5-Ⅱ]16[SR15.6-Ⅱ]12[SR15.7-Ⅱ]13[SR15.8-Ⅱ]13[SR15.9-Ⅱ]12安全監(jiān)控運營[SMO16.1-Ⅰ]17[SMO16.2-Ⅰ]19[SMO16.3-Ⅰ]24[SMO16.4-Ⅰ]23[SMO16.5-Ⅰ]26[SMO16.6-Ⅰ]24[SMO16.7-Ⅰ]26[SMO16.8-Ⅱ]13[SMO16.9-Ⅱ]10[SMO16.10-Ⅱ]10數(shù)據(jù)（Data）安全數(shù)據(jù)管理[SDM17.1-Ⅰ]22[SDM17.2-Ⅰ]25[SDM17.3-Ⅰ]20[SDM17.4-Ⅱ]14[SDM17.5-Ⅱ]11[SDM17.6-Ⅱ]12[SDM17.7-Ⅱ]15[SDM17.8-Ⅱ]14[SDM17.9-Ⅱ]9[SDM17.10-Ⅱ]6果在蛛網(wǎng)圖中進行表示，最終形成目前TSM可信研發(fā)運營安全能力成熟度評估整體水位圖，如下圖6所示。來源：中國信息通信研究院圖6TSM可信研發(fā)運營安全能力成熟度水位圖TSM105.83和5.69108.578.08（三）企業(yè)安全管理工作推進應(yīng)關(guān)注四方面重點26家企業(yè)TSM自上而下推動安全工作建立調(diào)度及協(xié)作流程，協(xié)調(diào)人員與資源，規(guī)范人員操作改進的機制是安全體系長期穩(wěn)定運行的基礎(chǔ)。有研發(fā)流程構(gòu)建研發(fā)運營安全工具平臺與工具鏈?zhǔn)强尚叛邪l(fā)運營安全體系/持續(xù)部署（CI/CD）一個學(xué)習(xí)型的安全文化，使得研發(fā)人員更主動地參與到安全工作中。進行數(shù)據(jù)反饋，形成安全閉環(huán)，不斷優(yōu)化流程實踐（四）TSM水位圖助力企業(yè)明確安全現(xiàn)狀，完善改進計劃TSMTSM可信TSM評估來源：中國信息通信研究院圖7示例企業(yè)TSM可信研發(fā)運營安全能力成熟度水位對比圖圖7為一個示例企業(yè)與增強級平均水位圖的對比，從圖中我們可業(yè)得分情況分布見表3，供讀者參考。表3TSM可信研發(fā)運營安全能力成熟度示例企業(yè)得分體系（System）安全組織考察項企業(yè)得分示例企業(yè)考察項企業(yè)得分示例企業(yè)[SO1.1-Ⅰ]261[SO1.2-Ⅱ]161[SO1.3-Ⅱ]161[SO1.4-Ⅱ]161[SO1.5-Ⅱ]161制度流程[RP2.1-Ⅰ]181[RP2.2-Ⅰ]221[RP2.3-Ⅰ]261[RP2.4-Ⅰ]231[RP2.5-Ⅰ]250[RP2.6-Ⅱ]161[RP2.7-Ⅱ]151培訓(xùn)賦能[TE3.1-Ⅰ]261[TE3.2-Ⅰ]261[TE3.3-Ⅰ]261[TE3.4-Ⅰ]261[TE3.5-Ⅱ]141[TE3.6-Ⅱ]161[TE3.7-Ⅱ]130標(biāo)準(zhǔn)規(guī)范[SS4.1-Ⅰ]261[SS4.2-Ⅰ]251[SS4.3-Ⅰ]261[SS4.4-Ⅱ]140[SS4.5-Ⅱ]161[SS4.6-Ⅱ]151[SS4.7-Ⅱ]2611要求（Requirements）安全門限[STR5.1-Ⅰ]221[STR5.2-Ⅱ]141要求[STR5.3-Ⅱ]161身份與訪問管理[IAM6.1-Ⅰ]261[IAM6.2-Ⅰ]261[IAM6.3-Ⅰ]261[IAM6.4-Ⅰ]251[IAM6.5-Ⅰ]261[IAM6.6-Ⅱ]151[IAM6.7-Ⅱ]121安全審計[SA7.1-Ⅰ]261[SA7.1-Ⅰ]261[SA7.3-Ⅱ]121[SA7.4-Ⅱ]151[SA7.5-Ⅱ]151環(huán)境安全[ES8.1-Ⅰ]251[ES8.2-Ⅰ]231[ES8.3-Ⅰ]261[ES8.4-Ⅰ]251[ES8.5-Ⅰ]261[ES8.6-Ⅱ]151[ES8.7-Ⅱ]151[ES8.8-Ⅱ]131變更升級和配置管理[CCM9.1-Ⅰ]261[CCM9.2-Ⅰ]261[CCM9.3-Ⅰ]241[CCM9.4-Ⅰ]260[CCM9.5-Ⅰ]240[CCM9.6-Ⅰ]241[CCM9.7-Ⅰ]241[CCM9.8-Ⅰ]231[CCM9.9-Ⅱ]161[CCM9.10-Ⅱ]141[CCM9.11-Ⅱ]160[CCM9.12-Ⅱ]151[CCM9.13-Ⅱ]70[CCM9.14-Ⅱ]121設(shè)計（Design）安全需求分析[SRA10.1-Ⅰ]211[SRA10.2-Ⅰ]221[SRA10.3-Ⅱ]140[SRA10.4-Ⅱ]161[SRA10.5-Ⅱ]231安全設(shè)計[SD11.1-Ⅰ]251[SD11.2-Ⅰ]241[SD11.3-Ⅰ]231[SD11.4-Ⅰ]240[SD11.5-Ⅰ]240[SD11.6-Ⅱ]140[SD11.7-Ⅱ]131[SD11.8-Ⅱ]141[SD11.9-Ⅱ]151[SD11.10-Ⅱ]151[SD11.11-Ⅱ]111[SD11.12-Ⅱ]111控制（Control）開源治理[OG12.1-Ⅰ]221[OG12.2-Ⅰ]241[OG12.3-Ⅱ]171[OG12.4-Ⅱ]111[OG12.5-Ⅱ]131[OG12.6-Ⅱ]130[OG12.7-Ⅱ]151[OG12.8-Ⅱ]81[OG12.9-Ⅱ]151[OG12.10-Ⅱ]141[OG12.11-Ⅱ]141[OG12.12-Ⅱ]161安全編碼[SC13.1-Ⅰ]261[SC13.2-Ⅰ]241[SC13.3-Ⅰ]261[SC13.4-Ⅰ]261[SC13.5-Ⅰ]251[SC13.6-Ⅱ]111[SC13.7-Ⅱ]131[SC13.8-Ⅱ]151安全測試[ST14.1-Ⅰ]261[ST14.2-Ⅰ]241[ST14.3-Ⅰ]241[ST14.4-Ⅰ]231[ST14.5-Ⅰ]261[ST14.6-Ⅰ]251[ST14.7-Ⅱ]151[ST14.8-Ⅱ]141[ST14.9-Ⅱ]161[ST14.10-Ⅱ]90[ST14.11-Ⅱ]151安全發(fā)布[SR15.1-Ⅰ]241[SR15.2-Ⅰ]261[SR15.3-Ⅰ]261[SR15.4-Ⅰ]261[SR15.5-Ⅱ]161[SR15.6-Ⅱ]121[SR15.7-Ⅱ]131[SR15.8-Ⅱ]131[SR15.9-Ⅱ]121安全監(jiān)控運營[SMO16.1-Ⅰ]171[SMO16.2-Ⅰ]191[SMO16.3-Ⅰ]241[SMO16.4-Ⅰ]231[SMO16.5-Ⅰ]261[SMO16.6-Ⅰ]241[SMO16.7-Ⅰ]261[SMO16.8-Ⅱ]131[SMO16.9-Ⅱ]101[SMO16.10-Ⅱ]101數(shù)據(jù)（Data）安全數(shù)據(jù)管理[SDM17.1-Ⅰ]221[SDM17.2-Ⅰ]251[SDM17.3-Ⅰ]201[SDM17.4-Ⅱ]140[SDM17.5-Ⅱ]111[SDM17.6-Ⅱ]120[SDM17.7-Ⅱ]151[SDM17.8-Ⅱ]141[SDM17.9-Ⅱ]90[SDM17.10-Ⅱ]60來源：中國信息通信研究院三、TSM水位圖子項活動詳解（一）體系（System）安全組織（SOSecurityOrganization）工作機制并持續(xù)更新完善，推動研發(fā)運營安全的落地實施?？疾熘笜?biāo)具體包括：[SO1.1-Ⅰ]有基本的安全管理組織，具有專職的安全人員與安全管理崗位。[SO1.2-Ⅱ]制定組織層面的網(wǎng)絡(luò)安全策略，并定義網(wǎng)絡(luò)安全目標(biāo)、原則、范圍。[SO1.3-Ⅱ]建立組織層面的安全組織，有明確的安全人員角色劃分，清晰的崗位職責(zé)、權(quán)利以及義務(wù)。[SO1.4-Ⅱ]有高級別的安全管理組織架構(gòu)，協(xié)調(diào)組織級的跨部門安全工作，包括但不限于首席安全官、產(chǎn)品安全應(yīng)急響應(yīng)團隊、安全研發(fā)團隊、環(huán)境安全管理組織等。[SO1.5-Ⅱ]具有安全管理架構(gòu)、安全人員管理的持續(xù)更新完善機制。制度流程RegulationsandProcess）制度流程主要考察企業(yè)在研發(fā)運營安全實踐中，制定相關(guān)的管制度流程主要考察企業(yè)在研發(fā)運營安全實踐中，制定相關(guān)的管理制度和操作流程，并具有相應(yīng)的平臺化的流程管理能力，保障各個環(huán)節(jié)都能夠被及時響應(yīng)，各項任務(wù)能夠被順利傳遞、銜接?？疾熘笜?biāo)具體包括：[RP2.1-Ⅰ][RP2.2-Ⅰ]2.4[RP2.3-Ⅰ]具有明確的應(yīng)急事件響應(yīng)流程和預(yù)先的事件響應(yīng)計2.5[RP2.4-Ⅰ]制定和實施安全風(fēng)險評估計劃，定期進行安全測試與評估。2.6[RP2.5-Ⅰ]2.7[RP2.6-Ⅱ]具有統(tǒng)一的制度管理平臺和平臺化的流程管理系統(tǒng)。2.2[RP2.7-Ⅱ]2.3培訓(xùn)賦能（TETrainingandEmpower）培訓(xùn)賦能主要考察企業(yè)具備明確的安全相關(guān)培訓(xùn)管理辦法與實培訓(xùn)賦能主要考察企業(yè)具備明確的安全相關(guān)培訓(xùn)管理辦法與實施計劃，針對研發(fā)、測試、運營相關(guān)人員，組織安全相關(guān)安全培訓(xùn)，運營安全能力，并進行相應(yīng)的考核管理?？疾熘笜?biāo)具體包括：[TE3.1-Ⅰ]有明確的安全相關(guān)培訓(xùn)管理辦法與實施計劃。[TE3.2-Ⅰ][TE3.3-Ⅰ]對于員工安全培訓(xùn)結(jié)果進行考核登記。[TE3.4-Ⅰ]具有組織級層面安全考核，范圍包括但不限于新員工入職。[TE3.5-Ⅱ]定期對于研發(fā)、測試、運營人員進行相關(guān)安全培訓(xùn)。[TE3.6-Ⅱ]按需提供個人培訓(xùn)，提供平臺進行安全知識持續(xù)學(xué)習(xí)。[TE3.7-Ⅱ]安全考核范圍應(yīng)包括人員安全事故維度。標(biāo)準(zhǔn)規(guī)范（SS,StandardandSpecifications）標(biāo)準(zhǔn)規(guī)范主要考察企業(yè)有明確的安全研發(fā)全生命周期的制度文標(biāo)準(zhǔn)規(guī)范主要考察企業(yè)有明確的安全研發(fā)全生命周期的制度文通過統(tǒng)一的平臺進行管理。考察指標(biāo)具體包括：[SS4.1-Ⅰ][SS4.2-Ⅰ][SS4.3-Ⅰ]API[SS4.4-Ⅱ][SS4.5-Ⅱ]具有統(tǒng)一的平臺對于研發(fā)測試規(guī)范進行管理。[SS4.6-Ⅱ]有明確的滲透測試計劃與管理機制，建立滲透測試流程。[SS4.7-Ⅱ]有相應(yīng)的發(fā)布安全流程與規(guī)范。（二）要求（Requirements）（STR,SecurityTresholdRequirements）前置?？疾熘笜?biāo)具體包括：[STR5.1-Ⅰ]具有組織級或項目級安全門限要求。[STR5.2-Ⅱ]根據(jù)業(yè)務(wù)場景、產(chǎn)品類型設(shè)立安全門限要求。[STR5.3-Ⅱ]根據(jù)語言類型劃分安全門限要求?？?，確保人員以及研發(fā)運營資源的安全性。身份與訪問管理（IAM, Identity and控，確保人員以及研發(fā)運營資源的安全性?？疾熘笜?biāo)具體包括：[IAM6.1-Ⅰ]依據(jù)最小權(quán)限原則，通過用戶、角色、用戶組，建立資源、行為操作權(quán)限管控。[IAM6.2-Ⅰ]采用認(rèn)證機制保證訪問安全，包括但不限于配置強密碼策略等，同時及時為不需要權(quán)限的用戶或用戶組移除權(quán)限。[IAM6.3-Ⅰ]針對研發(fā)、測試環(huán)境具有明確的權(quán)限管控機制。[IAM6.4-Ⅰ][IAM6.5-Ⅰ]升級變更操作有明確的審批授權(quán)機制。[IAM6.6-Ⅱ]支持多因素認(rèn)證，保證訪問安全。[IAM6.7-Ⅱ]安全審計（SASecurityAudit）運營人員以及第三方合作商以及第三方合作人員的相關(guān)操作行為進行監(jiān)控審計，同時對高危操作進行重點審計，將審計記錄形成報表，溯性?？疾熘笜?biāo)具體包括：[SA7.1-Ⅰ]審計范圍應(yīng)包括安全管理要求的落地情況以及研發(fā)、測試、運營相關(guān)人員的所有操作行為。[SA7.2-Ⅰ]安全審計日志完整詳細(xì)，同時對于審計記錄進行保護，有效期內(nèi)避免非授權(quán)的訪問、篡改、覆蓋及刪除。[SA7.3-Ⅱ]定期對于第三方合作商以及第三方合作人員進行安全審計。[SA7.4-Ⅱ]針對審計日志進行自動化與人工審計，對于審計記錄形成報表，方便查詢、統(tǒng)計與分析。[SA7.5-Ⅱ]對于高危操作進行重點審計，進行告警通知。環(huán)境安全（ES,EnvironmentSafety）的安全基線要求，定期執(zhí)行安全基線掃描保障環(huán)境的安全。考察指標(biāo)具體包括：[ES8.1-Ⅰ]研發(fā)、測試、生產(chǎn)環(huán)境隔離。[ES8.2-Ⅰ][ES8.3-Ⅰ][ES8.4-Ⅰ]作。[ES8.5-Ⅰ]研發(fā)、測試、生產(chǎn)環(huán)境上的數(shù)據(jù)具備定期離線備份的能力。[ES8.6-Ⅱ]定期執(zhí)行生產(chǎn)環(huán)境的安全基線掃描，及時發(fā)現(xiàn)和處理安全風(fēng)險。[ES8.7-Ⅱ]研發(fā)、生產(chǎn)環(huán)境具有良好的抗攻擊與災(zāi)備容錯能力。[ES8.8-Ⅱ] （CCMChangeandConfigurationManagement）認(rèn)，確保產(chǎn)品交付信息的安全性、完整性、一致性及可追溯性?？疾熘笜?biāo)具體包括：[CCM9.1-Ⅰ]具有明確的進行變更條件與變更執(zhí)行機制，變更[CCM9.2-Ⅰ]對于升級變更操作進行統(tǒng)一管理，明確記錄操作[CCM9.3-Ⅰ]升級變更操作可以實現(xiàn)自動化回滾，同時與版本系統(tǒng)同步，確保版本信息一致。[CCM9.4-Ⅰ]變更升級操作對于用戶無感知，對于用戶有影響[CCM9.5-Ⅰ]有明確的配置管理策略，包括但不限于配置項標(biāo)[CCM9.6-Ⅰ][CCM9.7-Ⅰ]對各配置項建立配置基線，對基線后的配置項變[CCM9.8-Ⅰ]具有明確的配置審計機制，包括但不限于配置項[CCM9.9-Ⅱ]對于變更請求進行統(tǒng)一分析、整理，確定變更方案。[CCM9.10-Ⅱ]重大變更操作具有分級評審機制。[CCM9.11-Ⅱ]配置項具有回滾機制，所有的配置項都能通過回滾的方式還原到變更之前的狀態(tài)。[CCM9.12-Ⅱ]構(gòu)建要素、測試環(huán)境要素識別為配置項納入配置管理。[CCM9.13-Ⅱ]支持進行自動化配置審計。[CCM9.14-Ⅱ]項目依賴的自研模塊、平臺組件、開源源碼、開源二進制、第三方軟件被準(zhǔn)確的定義和記錄。（三）設(shè)計（Design）（SRASecurityRequirementsAnalysis）安全需求分析指在系統(tǒng)或軟件的開發(fā)過程中明確定義和識別與安全需求分析指在系統(tǒng)或軟件的開發(fā)過程中明確定義和識別與戶隱私需求、行業(yè)安全標(biāo)準(zhǔn)、內(nèi)部安全標(biāo)準(zhǔn)等?？疾熘笜?biāo)具體包括：[SRA10.1-Ⅰ][SRA10.2-Ⅰ]針對涉及個人數(shù)據(jù)處理的服務(wù)產(chǎn)品及相關(guān)業(yè)務(wù)活動梳理個人數(shù)據(jù)清單，開展隱私風(fēng)險評估。[SRA10.3-Ⅱ]持續(xù)更新完善安全需求清單，依據(jù)包括但不限于[SRA10.4-Ⅱ]安全功能需求與其他功能性需求同步開展，具有節(jié)進行有效管理，需求分解分配可追溯，形成閉環(huán)。[SRA10.5-Ⅱ]具有公司級的統(tǒng)一的安全需求知識庫，可依據(jù)具體安全需求，查找相應(yīng)安全解決方案，并具有持續(xù)更新機制。安全設(shè)計（SDSecurityDesign）行安全設(shè)計，并執(zhí)行風(fēng)險消減設(shè)計?？疾熘笜?biāo)具體包括：[SD11.1-Ⅰ]有明確的安全設(shè)計原則，指導(dǎo)后續(xù)安全設(shè)計工作的開展。[SD11.2-Ⅰ]針對安全需求分析階段識別的安全需求進行設(shè)計。[SD11.3-Ⅰ][SD11.4-Ⅰ][SD11.5-Ⅰ]針對識別出的關(guān)鍵攻擊面和關(guān)鍵風(fēng)險點進行分析設(shè)計并輸出消減措施。[SD11.6-Ⅱ]可根據(jù)行業(yè)特點、業(yè)務(wù)場景、技術(shù)棧特點制定安全設(shè)計原則。[SD11.7-Ⅱ]可根據(jù)安全設(shè)計原則構(gòu)建安全設(shè)計方案庫，助力團隊實踐安全設(shè)計。[SD11.8-Ⅱ][SD11.9-Ⅱ]可根據(jù)業(yè)務(wù)場景，識別攻擊者意圖，并針對攻擊者意圖有效識別價值資產(chǎn)。[SD11.10-Ⅱ]有明確的威脅建模流程，包括但不限于確定安全[SD][SD11.12-Ⅱ]基于產(chǎn)品領(lǐng)域初始架構(gòu)和產(chǎn)品領(lǐng)域高危暴露面，（四）控制（Control）開源治理（OGOpensourceGovernance）用的開源組件只能從可信開源組件倉庫獲取?？疾熘笜?biāo)具體包括：[OG12.1-Ⅰ]對于開源組件進行風(fēng)險評估，明確組件風(fēng)險，對于開源組件漏洞進行跟蹤并及時修復(fù)。[OG12.2-Ⅰ]具有明確的開源組件確認(rèn)機制，確保待發(fā)布的軟件產(chǎn)品服務(wù)不包含高危組件。[OG12.3-Ⅱ]開源組件來源可追溯，明確組件版本和來源地址。[OG12.4-Ⅱ][OG12.5-Ⅱ][OG12.6-Ⅱ]項目服務(wù)所利用的開源組件只能從唯一的可信開源組件倉庫獲取。[OG12.7-Ⅱ]制定明確的開源組件入庫審批機制。[OG12.8-Ⅱ][OG12.9-Ⅱ]開源組件與自研代碼獨立存放、目錄隔離[OG12.10-Ⅱ]代碼提交前采用自動化掃描工具進行開源組件安[OG12.11-Ⅱ]采用工具與人工核驗的方式確認(rèn)開源及依賴組件的安全性、一致性。[OG12.12-Ⅱ]根據(jù)許可證信息、安全漏洞等綜合考慮法律、安全風(fēng)險。安全編碼（SC,SecureCoding）的代碼審查和卡點機制，避免高風(fēng)險源碼的合入?？疾熘笜?biāo)具體包括：[SC13.1-Ⅰ][SC13.2-Ⅰ]維護獲得安全認(rèn)可的工具、框架列表，使用獲得認(rèn)可的工具、框架進行編碼實現(xiàn)。[SC13.3-Ⅰ]使用靜態(tài)應(yīng)用程序安全測試工具對代碼進行掃描，[SC13.4-Ⅰ]具有統(tǒng)一的版本控制系統(tǒng)，將全部源代碼納入版本控制系統(tǒng)管理。[SC13.5-Ⅰ][SC13.6-Ⅱ]IDE編碼行為進行識別，告警。[SC13.7-Ⅱ]制定代碼審核及代碼合入門禁機制，如分級審核機制，確保代碼合入質(zhì)量。[SC13.8-Ⅱ]構(gòu)建時開啟安全選項，從構(gòu)建啟動開始到構(gòu)建結(jié)束過程自動化，中間過程不手工干預(yù)；版本重復(fù)構(gòu)建結(jié)果一致。安全測試SecurityIT試問題有記錄可查詢?？疾熘笜?biāo)具體包括：[ST14.1-Ⅰ]掃描、[ST14.2-Ⅰ]企業(yè)在研發(fā)流程中，有明確的安全隱私測試要求，作為發(fā)布部署的前置條件。[ST14.3-Ⅰ]測試數(shù)據(jù)不包含未經(jīng)清洗的敏感數(shù)據(jù)，單個測試用例的執(zhí)行不受其他測試用例結(jié)果的影響。[ST14.4-Ⅰ]基于安全隱私要求，有相應(yīng)的安全隱私測試用例，并進行驗證測試。[ST14.5-Ⅰ]測試過程有記錄可查詢，測試設(shè)計、執(zhí)行端到端可追溯，對測試過程發(fā)現(xiàn)的問題可進行跟蹤、閉環(huán)。[ST14.6-Ⅰ]具有明確的測試評估模型，對被測對象進行測試評估，并在測試報告中進行結(jié)果展示。[ST14.7-Ⅱ]測試用例、測試數(shù)據(jù)定期更新，滿足不同階段、環(huán)境的測試要求。[ST14.8-Ⅱ]/IT[ST14.9-Ⅱ]針對漏洞掃描結(jié)果可以自動通知研發(fā)人員，根據(jù)安全門限要求和企業(yè)管理要求，對于漏洞進行跟蹤修復(fù)。[ST14.10-Ⅱ]采用主流的模糊測試工具，自動化進行模糊測試。[ST14.11-Ⅱ]同時可實現(xiàn)發(fā)布流程自動化，有相應(yīng)的安全備份機制。安全發(fā)布（SR,Security同時可實現(xiàn)發(fā)