1、 TSM可信研发运营安全能力成熟度可信研发运营安全能力成熟度水位图水位图报告报告（2023年年）云计算开源产业联盟云计算开源产业联盟 OpenSource Cloud Alliance for industry，OSCAR 2023年年12月月 版权声明 本报告版权属于云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：云计算开源产业联盟”。违反上述声明者，本联盟将追究其相关法律责任。报告在编写过程中，历经概念策划、提纲设计、内容起草、征求意见等阶段，得到了中国信息通信研究院云计算与大数据研究所和华为技术有限公司的大力支持，在此一并致谢。引引 言言

2、“安全左移”理念已诞生多年，安全左移强调进行安全早期介入，贯穿软件服务全生命周期，一方面将实现风险安全可控，做到风险漏洞早发现、早修复，降低成本，提高收益；另一方面将反向推动企业建立安全文化，提升研发、运营、安全团队协作意识。中国信息通信研究院自 2019 年起，牵头推进 可信研发运营安全能力成熟度模型标准制定，并依据标准开展评估测试，目前已有包括金融、汽车、互联网、运营商、软件厂商、安全厂商在内的 30 余家企业通过评估。本次相关团队分析评估细节，整理形成 TSM 可信研发运营安全能力成熟度水位图报告，旨在绘制 TSM 整体评估水位图，为企业提供参考，同时帮助企业对标业界优秀实践，将自身安全

3、能力量化，探索构筑符合企业自身情况的全生命周期研发运营安全体系，提升企业产品市场竞争力。本报告首先明确 TSM（全称：Trustworthy evaluation of Security maturity Model）可信研发运营安全能力成熟度工作背景，梳理国内外研发运营安全现状并介绍中国信息通信研究院可信研发运营安全能力成熟度工作概况。其次，从五大领域十七类子项详细介绍 TSM 水位图构成，明确水位图绘制依据。此外，报告团队对 30 余家企业 TSM评估情况进行分析，指出目前企业研发运营安全体系建设短板与优势并给出关注重点。最后，指出 TSM 水位图助力企业明确安全现状，完善改进计划。报告团

4、队也将从完善 TSM 评估细节、优化报告内容、丰富行业数据、建立用户反馈机制四方面持续完善TSM 可信研发运营安全能力成熟度水位图报告，助力业界可信安全生态建设。目目 录录 一、整体概述.1（一）安全研发态势严峻，影响深远.1（二）安全左移成为业界常态.3（三）研发运营安全能力成为企业核心竞争力之一.4（四）中国信通院建立研发运营安全标准体系，持续开展评估工作.5 二、TSM 可信研发运营安全能力成熟度水位图.8（一）TSM 水位图要素分为五大领域十七类子项.8（二）开源治理与安全数据管理为目前企业安全体系建设短板 10（三）企业安全管理工作推进应关注四方面重点.16（四）TSM 水位图助力企

5、业明确安全现状，完善改进计划.20 三、TSM 水位图子项活动详解.25（一）体系（System）.25（二）要求（Requirements）.29（三）设计（Design）.34（四）控制（Control）.36（五）数据（Data）.42 四、下一步工作计划.44 图图 目目 录录 图 1 2022 年漏洞影响对象占比图.2 图 2 新型研发运营安全体系.4 图 3 不同修复阶段的修复成本.5 图 4 可信研发运营安全能力模型.6 图 5 TSM 可信研发运营安全能力成熟度水位模型图.10 图 6 TSM 可信研发运营安全能力成熟度水位图.14 图 7 示例企业 TSM 可信研发运营安全能

6、力成熟度水位对比图.21 表表 目目 录录 表 1 TSM 可信研发运营安全能力成熟度水位图要素.8 表 2 TSM 可信研发运营安全能力成熟度企业总体得分.11 表 3 TSM 可信研发运营安全能力成熟度示例企业得分.22 1 1/4545 一、整体概述（一）（一）安全研发态势严峻，影响深远安全研发态势严峻，影响深远 数字化时代，软件已经成为日常生产生活必备要素之一，渗透到各个重要行业和领域。随着数字化转型进程的推进，容器、中间件、微服务、DevOps 等新技术理念的演进。软件行业在快速发展的同时，软件安全事件发生次数也呈逐年上升趋势。根据 Splunk2022 年全球网络安全态势报告，65