軟件安全開發(fā)成熟度評估技術規(guī)范 征求意見稿

1T/ZHSIAXXX—XXXX軟件研發(fā)安全成熟度評估技術規(guī)范本標準定義了軟件安全開發(fā)成熟度的評估模型和評估體系，從54個基本安全實踐的執(zhí)行頻率、覆蓋度及執(zhí)行質量進行量化評估，為軟件研發(fā)安全成熟度評估及自主提升軟件研發(fā)安全成熟度水平提供標準和依據(jù)，適用于：a.第三方對軟件研發(fā)單位開展軟件研發(fā)安全成熟度評估認證；b.軟件研發(fā)單位自主提升軟件研發(fā)安全成熟度水平。2.規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，標注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術術語GB/T29246-2017信息技術安全技術信息安全管理體系概述和詞匯GB/T19000-2016質量管理體系基礎和術語GB/T20261-2020信息安全技術系統(tǒng)安全工程能力成熟度模型GB/T28458-2020信息安全技術網(wǎng)絡安全漏洞標識與描述規(guī)范GB/T24363-2009信息安全技術信息安全應急響應計劃規(guī)范3.術語和定義GB/T25069-2010、GB/T29246-2017、GB/T19000-2016、GB/T20261-2020、GB/T28458-2020、GB/T24363-2009界定的以及下列術語和定義適用于本文件。3.1.軟件生命周期softwarelifecycle軟件產(chǎn)品從構思開始到軟件停止使用為止的時間周期。軟件生命周期在組織中典型地包括：需求階段、設計階段、實現(xiàn)階段、測試階段、部署階段或發(fā)布階段、操作和維護階段，有時還包括銷毀階段。2T/ZHSIAXXX—XXXX3.2.軟件研發(fā)安全softwaresecuritydevelopment識別軟件生命周期中潛在的安全威脅，對信息和數(shù)據(jù)進行保護的一組技術狀態(tài)管理活動。3.3.保密性confidentiality使信息不泄漏給未授權的個人、實體、進程，或不被其利用的特性。[來源：GB/T25069-2010，2.1.1]3.4.完整性integrity準確和完備的特性。[來源：GB/T29246-2017，2.40]3.5.可用性availability已授權實體一旦需要就可訪問和使用的數(shù)據(jù)和資源的特性。[來源：GB/T25069-2010，2.1.20]3.6.安全開發(fā)能力securitydevelopmentcapability組織在組織建設、制度流程、技術工具以及人員能力等方面對安全開發(fā)的保障。3.7.能力成熟度capabilitymaturity對一個組織有條理的持續(xù)改進能力以及實現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信度的水平。3.8.能力成熟度模型capabilitymaturitymodel對一個組織的能力成熟度進行度量的模型，包括一系列代表能力和進展的特征、屬性、指示或者模式。3.9.安全過程securityprocess用于實現(xiàn)某一安全目標的完整過程，該過程包含輸入和輸出。3T/ZHSIAXXX—XXXX3.10.基本實踐basepractice實現(xiàn)某一安全目標的安全開發(fā)相關活動。3.11.安全域processarea實現(xiàn)同一安全目標的相關安全開發(fā)基本實踐的集合。3.12.基礎實踐foundationpractice在評估中用于不能清晰界定屬于某一安全安全域而重要且基礎的安全開發(fā)相關活動。3.13.評估assessment對于某一產(chǎn)品、系統(tǒng)或服務，對照某一標準，采用相應的評估方法，以建立合規(guī)性并確定其所做是否得到確保的驗證。3.14.過程process利用輸入實現(xiàn)預期結果的相互關聯(lián)或相互作用的一組活動。[來源：GB/T19000-2016，3.4.1]3.15.基線baseline經(jīng)過一個正式評審并通過的規(guī)約或產(chǎn)品，作為后續(xù)開發(fā)的基礎。對其變更只有通過正式的變更控制規(guī)程方可進行。[來源：GB/T20261-2020，3.11]3.16.威脅threat可能對系統(tǒng)或組織造成危害的不期望事件的潛在因素。3.17.組件component在系統(tǒng)中，實現(xiàn)其部分功能的可識別區(qū)分的部分。4T/ZHSIAXXX—XXXX3.18.網(wǎng)絡安全漏洞cyberspacesecurityvulnerability網(wǎng)絡產(chǎn)品和服務在需求分析、設計、實現(xiàn)、配置、測試、運行、維護等過程中，無意或有意產(chǎn)生的、有可能被利用的缺陷或薄弱點。[來源：GB/T28458-2020，3.1]3.19.應急響應emergencyresponse組織為了應對突發(fā)／重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施。[來源：GB/T24363-2009，3.4]4.縮略語下列縮略語適用于本文件。S-SDLCCMM：全稱為SecureSoftwareDevelopmentLifeCycleCapabilityMaturityModel，即軟件安全開發(fā)生命周期成熟度模型。S-SDLC域：軟件安全開發(fā)生命周期成熟度模型共分為4個評估域：監(jiān)管域、能力域、觸點域、運維域。S-SDLC子域：4個評估域安全能力拆解為特定的能力域集合。BP：全稱為BasePractice，即基本實踐。5.安全開發(fā)體系評估模型5.1.成熟度模型架構S-SDLCCMM架構如圖1所示。圖1S-SDLCCMM架構圖S-SDLCCMM的架構由以下三個層次構成：5T/ZHSIAXXX—XXXX5.1.1.安全域軟件安全開發(fā)生命周期成熟度模型分為4個安全域：監(jiān)管域、能力域、觸點域、運維域，分別從如下維度對軟件研發(fā)成熟度評估進行闡述：監(jiān)管域：闡述軟件開發(fā)組織制定軟件安全開發(fā)流程、合規(guī)要求、管理制度等方面的體系化要求；能力域：闡述軟件開發(fā)組織保障各種安全活動執(zhí)行應具備的基礎設施；觸點域：闡述軟件開發(fā)組織在軟件開發(fā)生命周期中應如何融入恰當?shù)陌踩珜嵺`；運維域：闡述軟件開發(fā)組織的生產(chǎn)環(huán)境和軟件上線需要執(zhí)行的安全實踐。5.1.2.子域為了便于評估工作開展，將每個安全域的安全能力拆解為多個子域，每個子域描述一個特定的軟件研發(fā)安全成熟度能力集，拆解后共包含18個子域。5.1.3.基本實踐基本實踐是子域的進一步細分，是軟件研發(fā)過程中需要實施的具體安全事項。每個基本實踐包含一個或多個評價指標，對每個評價指標分別打分后得到每個基本實踐的成熟度等級。6T/ZHSIAXXX—XXXX5.2.模型內(nèi)容S-SDLCCMM模型定義的成熟度等級通過綜合18個子域評分得到，最終評分可在模型框架下進行同行業(yè)最佳實踐比較。為指導軟件研發(fā)組織實施軟件安全能力評估及改進，我們在子域中給出了具體的實踐內(nèi)容以及對應的參考指標，這些措施提煉自大量的實踐經(jīng)驗以及業(yè)界的先進共識。組織通過實施模型提供的實踐內(nèi)容和參考指標進行改進，能切實提高軟件安全開發(fā)的能力。S-SDLCCMM整體結構如圖2。監(jiān)管能力觸點運維攻擊模型流程與政策安全設計方案與安全開發(fā)組件安全需求分析滲透測試合規(guī)性第三方組件庫管理安全設計軟件環(huán)境培訓標準與要求標準與要求安全實現(xiàn)運營支持供應鏈管理DevSecOps能力敏感數(shù)據(jù)處理安全測試應急響應圖2S-SDLCCMM整體結構圖5.3.S-SDLCCMM評估域概述安全能力量化維度S-SDLCCMM的各評估域、子域、相關安全實踐以及評價指標框架如下。子域實踐流程與政策建立統(tǒng)一的企業(yè)軟件安全戰(zhàn)略制定組織安全開發(fā)管理流程7T/ZHSIAXXX—XXXX建設和運營組織安全文化建立組織級S-SDLC量化管理體系合規(guī)性合規(guī)性法律文件和要求轉化為安全需求培訓對高管進行軟件安全意識培訓對技術人員進行安全技能培訓根據(jù)公司經(jīng)驗教訓建立并使用特定的培訓材料外部優(yōu)秀安全經(jīng)驗吸收能力供應鏈安全管理成立軟件供應鏈安全風險管理委員會建立正式的軟件供應鏈安全管理制度子域實踐攻擊模型識別可能存在的潛在攻擊者建立攻擊模型和技術知識庫建設攻擊團隊安全設計方案與安全開發(fā)組件建立相對完善的安全設計庫建立相對完善的威脅庫安全開發(fā)組件第三方組件庫管理建立并使用內(nèi)部完整定義的第三方組件庫標準與要求定義滲透測試標準建立一個有關安全信息的內(nèi)網(wǎng)站點定義安全需求基線定義安全編碼規(guī)范定義代碼安全審核的標準8T/ZHSIAXXX—XXXX定義第三方開源組件分析活動的標準定義安全紅線定義安全測試標準定義數(shù)據(jù)庫、中間件和操作系統(tǒng)的安全配置基線定義漏洞管理標準DevSecOps能力使用自動化管理平臺進行安全管理敏感數(shù)據(jù)處理根據(jù)數(shù)據(jù)的類別進行標識對敏感數(shù)據(jù)進行安全處理子域實踐安全需求分析識別安全需求安全設計使用安全設計原則安全團隊參與系統(tǒng)架構活動開展威脅分析根據(jù)安全需求進行安全設計安全實現(xiàn)執(zhí)行代碼安全審核執(zhí)行安全編碼規(guī)范檢查對軟件系統(tǒng)執(zhí)行第三方組件安全掃描安全測試執(zhí)行安全測試使用自研工具進行安全測試子域實踐9T/ZHSIAXXX—XXXX滲透測試執(zhí)行滲透測試軟件環(huán)境建立環(huán)境隔離策略建立統(tǒng)一的標準軟件庫制定系統(tǒng)加固方案實施安全的容器化部署方案運營支持建立擁有安全能力的運營支持小組維護操作環(huán)境規(guī)范說明建立持續(xù)監(jiān)控機制持續(xù)優(yōu)化安全策略建立安全補丁與更新管理流程建立持續(xù)審計機制應急響應建立擁有安全能力的應急小組制定應急響應預案5.4.安全能力量化維度基本實踐的評價指標是對基本實踐能力進行量化評估的基礎，每個基本實踐對應若干個不同的評價指標，評價指標量化的安全能力分為以下3個方面：5.4.1.頻率包含實踐本身發(fā)生的頻率、升級頻率、更新頻率等。如：“對高管進行安全意識培訓”實踐下對高管參加培訓的頻率有客觀的量化要求；5.4.2.覆蓋度指活動發(fā)生時覆蓋的情況。如：“對技術人員提供安全技能培訓”實踐下對“安全技能課程覆蓋的項目組成員比例”提出了要求，包括開發(fā)、測試、產(chǎn)品、項目經(jīng)理等項目成員參與技能培訓的人員占比項目組全部人員的比例；5.4.3.執(zhí)行質量T/ZHSIAXXX—XXXX指企業(yè)在對實踐進行執(zhí)行的質量如何，一般從活動的角色、職責、流程、輸入輸出等方面評判。如：“識別可能存在的潛在攻擊者”評價質量時，會評價對攻擊者的識別是否從不同的角度和側面進行識別，包括企業(yè)外側和內(nèi)測、系統(tǒng)的業(yè)務側和數(shù)據(jù)側等評價是否識別得完善和系統(tǒng)。5.5.能力成熟度等級維度組織的安全開發(fā)能力成熟度等級共分為5級，見表1。組織在安全開發(fā)過程中不能有效地執(zhí)行相關工作，僅在部分軟件和應用系統(tǒng)開發(fā)執(zhí)行過程中根據(jù)臨時的需求執(zhí)行了相關工作，未形成成熟機制保證相關工作的所執(zhí)行的過程稱為“非正式過程”在重要軟件和重要應用系在組織級別實現(xiàn)了安全過a）建立可測的安全目標：為組織的安全開發(fā)建T/ZHSIAXXX—XXXX立可測量目標。b）客觀地管理執(zhí)行：確定過程能力的量化測量，使用量化測量管理安全過程，并以量化測量作為修正行動的基礎a）改進組織能力：在整個組織范圍內(nèi)對規(guī)程的使用進行比較，尋找改進規(guī)程的機會，并進行改進。b）改進過程有效性：制定處于持續(xù)改進狀態(tài)下的規(guī)程，對規(guī)程的缺陷進行消除，并對規(guī)程進行持續(xù)改進表1安全開發(fā)能力成熟度等級共性特征能力成熟度等級與域，子域，基本實踐的關系如下：a.根據(jù)每個安全子域下不同安全實踐的實施難度和成效，為基本實踐劃定不同的成熟度等級范圍，例如觸點域下安全設計子域的“使用安全設計原則”這一基本實踐成熟度為1級到3級，而同一子域下的基本實踐“開展威脅分析”成熟度為1級到5級；b.對于每個基本實踐，存在若干個評價指標用于從不同維度評估企業(yè)在這一安全實踐下的成熟度等級，在能力等級評估的時可根據(jù)實際情況去除不適用的評價指標。c.對于評價指標來自于BP的3個安全能力量化維度，即頻率、覆蓋度、執(zhí)行質量。根據(jù)基本實踐內(nèi)多個評價指標的綜合計算結果，計算得出每個基本實踐的成熟度在成熟度等級范圍內(nèi)的具體等級；d.每個基本實踐的最終成熟度來自于該基本實踐的多個評價指標的得分結果，子域的成熟度等級來源于子域內(nèi)所有基本實踐的計算結果，安全域的成熟度等級來自于安全域內(nèi)所有安全子域成熟度的計算結果；能力成熟度等級評估參考方法，參見附錄A。能力成熟度等級評估流程和模型使用方法，參見附錄B。5.6.評估體系評估體系分為4個大域、18個子域，共包含54個BP：a.監(jiān)管域的BP（BP01～BP11）包括：建立統(tǒng)一的企業(yè)軟件安全戰(zhàn)略，建立組織安全開發(fā)管理流程，建設和運營組織安全文化，建立組織級SDL量化管理，合規(guī)性法T/ZHSIAXXX—XXXX律文件要求轉化為安全需求，對高管進行安全軟件意識培訓，對技術人員的安全技能培訓，根據(jù)公司經(jīng)驗教訓建立并使用特定的培訓材料，外部優(yōu)秀安全經(jīng)驗吸收能力，成立軟件供應鏈安全風險管理委員會，建立正式的軟件供應鏈安全管理制度11個BP。b.能力域的BP（BP12～BP31）包括：識別可能存在的潛在攻擊者，建立攻擊模式和技術知識庫，構建攻擊團隊，建立相對完善的安全設計庫，建立相對完善的威脅庫，安全開發(fā)組件，建立并使用內(nèi)部完整定義的第三方組件庫，定義滲透測試標準，建立一個有關安全信息的內(nèi)網(wǎng)站點，定義安全需求基線，定義安全編碼規(guī)范，定義代碼安全審核的標準，定義第三方開源組件分析活動的標準，定義安全紅線，定義安全測試標準，定義數(shù)據(jù)庫、中間件和操作系統(tǒng)的安全配置基線，定義漏洞管理標準，使用自動化管理平臺進行安全管理，根據(jù)數(shù)據(jù)的類別進行標識，對敏感數(shù)據(jù)進行安全處理20個BPc.觸點域的BP（BP32～BP41）包括：識別安全需求，使用安全設計原則，安全團隊參與系統(tǒng)架構活動，開展威脅分析，根據(jù)安全需求進行安全設計，執(zhí)行代碼安全審核，執(zhí)行安全編碼規(guī)范檢查，對軟件或代碼進行第三方組件安全掃描，執(zhí)行安全測試，使用自動化工具進行安全測試10個BP。d.運維域的BP（BP42～BP54）執(zhí)行滲透測試，建立環(huán)境隔離策略，建立統(tǒng)一的軟件標準庫，制定系統(tǒng)加固方案，實施安全的容器化部署方案，建立擁有安全能力的運營支持小組，維護操作環(huán)境規(guī)范說明，建立持續(xù)監(jiān)控機制，持續(xù)優(yōu)化安全策略，建立安全補丁與更新管理流程，建立持續(xù)審計機制，建立擁有安全能力的應急小組，制定應急響應預案13個BP。5.7.BP編碼規(guī)則安全開發(fā)BP編碼規(guī)則如下：每個BP有對應的編號，分別采用遞增的數(shù)值01、02，...，表示。示例1：BP01，代表BP“建立統(tǒng)一的企業(yè)軟件安全戰(zhàn)略”。6.監(jiān)管域6.1.流程與政策6.1.1.評估子域描述軟件安全開發(fā)體系的實施必須是自上而下的，由高層授權，中層平衡相關利益方的訴求，T/ZHSIAXXX—XXXX從而達成組織對軟件開發(fā)安全的共識，為后續(xù)的安全實踐落地提供合適的土壤。組織需要對軟件安全開發(fā)的流程和合規(guī)性進行監(jiān)管，保證執(zhí)行的效果，最終將安全內(nèi)化到企業(yè)文化之中，為企業(yè)的業(yè)務產(chǎn)品提升安全方面的核心競爭力?！傲鞒膛c政策”包括建立統(tǒng)一的軟件安全戰(zhàn)略、制定組織安全開發(fā)管理流程、建設和運營組織安全文化、建立組織級別的SDL量化管理體系等安全實踐。6.1.2.基本實踐.BP01：建立統(tǒng)一的企業(yè)軟件安全戰(zhàn)略（等級：1-4）該BP包含2個評價指標：1．建立明確的企業(yè)軟件安全目標；2．制定圍繞組織軟件安全目標的實施規(guī)劃。.BP02：制定組織安全開發(fā)管理流程（等級：1-4）該BP包含4個評價指標：1．明確了軟件開發(fā)生命周期內(nèi)的各安全卡點；2．清晰定義了安全開發(fā)生命周期管理目的、適用范圍、術語定義、角色與職責、流程圖、活動描述、輸入、輸出和文檔模板；3．建立了軟件系統(tǒng)分類管理安全策略；4．制定了系統(tǒng)上線前風險評估管理流程。.BP03：建設和運營組織安全文化（等級：1-5）該BP包含4個評價指標：1．建立在組織內(nèi)部進行安全推廣活動的宣傳角色；2．制定軟件開發(fā)安全相關文化活動的開展計劃；3．建立企業(yè)內(nèi)部對軟件開發(fā)安全文化進行宣導的渠道；4．有對行業(yè)的影響力輸出能力。.BP04：建立組織級SDL量化管理體系（等級：1-5）該BP包含3個評價指標：1．建立SDL系統(tǒng)以量化管理SDL質量指標體系；T/ZHSIAXXX—XXXX2．建立對SDL質量和SDL過程性能不達標的情況進行根因分析并改進SDL績效的流程；3．建立定期評估和更新SDL質量目標和SDL過程性能目標的流程。6.2.合規(guī)性6.2.1.評估子域描述在研發(fā)初期就應該從需求層面考慮軟件應該符合哪些相關的法律法規(guī)，對于合規(guī)性的漠視可能會讓組織付出慘痛的代價?！昂弦?guī)性”主要描述了軟件開發(fā)組織從需求就開始重視監(jiān)管規(guī)則。該子域包含了轉化政策法規(guī)、行業(yè)條例、監(jiān)管要求為安全需求的安全實踐。6.2.2.基本實踐.BP05：合規(guī)性法律文件和要求轉化為安全需求（等級：1-4）該BP包含5個評價指標：1．建立了合規(guī)法律文件轉化為安全需求的流程2．轉化了網(wǎng)絡空間安全法律合規(guī)等法律文件為安全需求，如：網(wǎng)絡安全法、等保及行業(yè)相關法律法規(guī)3．轉化了數(shù)據(jù)安全相關法律合規(guī)等法律文件為安全需求，如：數(shù)據(jù)安全法、網(wǎng)絡數(shù)據(jù)安全管理條例、數(shù)據(jù)分類分級指引等；4．轉化了個人信息保護法律合規(guī)等法律文件為安全需求，如：個人信息保護法、個人信息安全規(guī)范、個人金融信息保護技術規(guī)范等5．轉化了組織所處行業(yè)的法律合規(guī)等法律文件為安全需求，若客戶所處行業(yè)為云計算行業(yè)，則需轉化云計算服務安全評估辦法6.3.培訓6.3.1.評估子域描述安全知識的培訓對軟件開發(fā)組織中的每個角色都至關重要，這是做好軟件開發(fā)安全實踐的前提?！芭嘤枴庇蛑饕枋隽私M織為提升高管和技術人員安全知識水平而制定并更新軟件安全培訓內(nèi)容和考核內(nèi)容的能力。6.3.2.基本實踐T/ZHSIAXXX—XXXX.BP06：對高管進行安全意識培訓（等級：1-4）該BP包含3個評價指標：1．制定了對高管參加培訓頻率的要求2．制定了安全意識課程考核指標3．設計了針對高管的安全意識培訓內(nèi)容.BP07：對技術人員進行安全技能培訓（等級：1-4）該BP包含4個評價指標：1．安全技能課程覆蓋項目組成員的比例2．根據(jù)技術人員角色，如開發(fā)、測試、運維、入職新人等，提供了針對性的安全技能課程3．制定了安全技能課程考核指標4．考核指標與人員晉升績效掛鉤.BP08：根據(jù)公司經(jīng)驗教訓建立并使用特定的培訓材料（等級：1-4）該BP包含3個評價指標：1．定期更新了標準化的安全經(jīng)驗教訓庫用于公司培訓2．安全經(jīng)驗教訓庫被覆蓋到項目團隊的比例3．安全經(jīng)驗教訓庫的宣講制定了配套的考核指標.BP09：外部優(yōu)秀安全經(jīng)驗吸收能力（等級：1-4）該BP包含2個評價指標：1．周期性組織吸收外部專家或團隊優(yōu)秀安全開發(fā)經(jīng)驗2．外部組織或專家的服務覆蓋了項目組的比例6.4.供應鏈管理6.4.1.評估子域描述在數(shù)字化轉型的大背景下，軟件開發(fā)組織采購了大量的第三方軟件加快組織的數(shù)字化轉型，隨之而來的是軟件供應鏈安全攻擊事件地成倍增長，造成了越來越嚴重的危害。供應商T/ZHSIAXXX—XXXX軟件產(chǎn)品的安全性對軟件開發(fā)組織而言至關重要。“軟件供應鏈安全管理”主要是幫助企業(yè)建立正式的制度，管理軟件供應鏈的安全風險，該子域的內(nèi)容包括成立軟件供應鏈安全風險管理委員會和建立正式的軟件供應鏈安全管理制度。6.4.2.基本實踐.BP10：成立軟件供應鏈安全風險管理委員會（等級：1-2）該BP包含2個評價指標：1．建立了委員會其成員涵蓋風險管理相關主要職能部門的高管2．明確了軟件供應鏈安全風險管理委員會的角色、職責.BP11：建立正式的軟件供應鏈安全管理制度（等級：1-3）該BP包含3個評價指標：1．制定了軟件供應鏈風險審查和風險緩解流程2．建立了針對軟件供應商安全開發(fā)及交付過程的安全要求和控制措施3．制定了一套管理關鍵供應商的流程7.能力域7.1.攻擊模型7.1.1.評估子域描述軟件開發(fā)組織應能主動了解可能存在的攻擊者、攻擊模式和相關技術，做到知己知彼、防患未然?！肮裟Ｐ汀敝饕枋隽水斍败浖_發(fā)組織需要具備的建立攻擊者視角的主動防御能力。7.1.2.基本實踐.BP12：識別可能存在的攻擊者（等級：1-4）該BP包含2個評價指標：1．從不同角度識別了可能存在的攻擊者2．定期更新潛在攻擊者清單T/ZHSIAXXX—XXXX.BP13：建立攻擊模型和技術知識庫（等級：1-5）該BP包含3個評價指標：1．收集并使用了攻擊情報2．收集并發(fā)布了攻擊案例3．建立了相應渠道來討論各種攻擊.BP14：建設攻擊團隊（等級：1-5）該BP包含3個評價指標：1．建立了一支研究新攻擊方法的研究團隊2．創(chuàng)建了與特定技術相關的攻擊模式3．開展了不定期的相關攻擊活動來暴露相關弱點7.2.安全設計方案與安全開發(fā)組件7.2.1.評估子域描述軟件開發(fā)組織可以通過安全設計方案和安全開發(fā)組件減少研發(fā)團隊對安全專業(yè)知識的依賴，快速實現(xiàn)對研發(fā)團隊的安全賦能?！鞍踩O計方案與安全開發(fā)組件”描述了軟件開發(fā)組織構建安全開發(fā)、安全設計、威脅分析知識庫和安全開發(fā)組件的能力，“安全設計方案與安全開發(fā)組件”的使用可以提升安全開發(fā)效率，降低安全開發(fā)成本。7.2.2.基本實踐.BP15：建立相對完善的安全設計庫（等級：1-3）該BP包含1個評價指標：1．建立安全設計庫，且該設計庫覆蓋了安全需求庫中的需求.BP16：建立相對完善的威脅庫（等級：1-3）該BP包含1個評價指標：1．建立了威脅庫，且該威脅庫覆蓋了各產(chǎn)品使用的技術及業(yè)務場景.BP17：安全開發(fā)組件（等級：1-3）T/ZHSIAXXX—XXXX該BP包含2個評價指標：1．建立了較為全面的安全開發(fā)組件，包括常用安全功能類組件和防漏洞類組件2．安全開發(fā)組件覆蓋了各項目組用到的開發(fā)語言和框架7.3.第三方組件庫管理7.3.1.評估子域描述軟件系統(tǒng)的開發(fā)往往會用到大量的開源組件，軟件開發(fā)組織需要完善流程、加強安全管控，減小第三方組件庫的潛在安全風險?！暗谌浇M件庫管理”描述了軟件開發(fā)組織管控開源組件的能力。7.3.2.基本實踐.BP18：建立并使用內(nèi)部完整定義的第三方組件庫（等級：1-4）該BP包含2個評價指標：1．建立團隊負責按照正式的管理流程建立、更新、維護內(nèi)部第三方組件庫2．內(nèi)部定義的第三方組件庫涵蓋所有產(chǎn)品線7.4.標準與要求7.4.1.評估子域描述“標準與要求”描述了安全活動的標準以及要求是如何定義的。在這個子域中對于安全開發(fā)流程中可能涉及到的規(guī)范標準都做了定義描述。相關實踐包括：定義安全需求基線、建立安全編碼規(guī)范以及定義代碼安全審核標準等相關標準和要求。7.4.2.基本實踐.BP19：定義滲透測試標準（等級：1-3）該BP包含1個評價指標：1．組織根據(jù)需要定義了較為全面的滲透測試標準.BP20：建立內(nèi)部安全信息共享站點（等級：1-3）該BP包含3個評價指標：T/ZHSIAXXX—XXXX1．建立了安全門戶網(wǎng)站以便相關角色獲取軟件安全的最新信息2．在組織內(nèi)推廣了網(wǎng)站，以便相關研發(fā)角色了解該網(wǎng)站并從其中獲取安全信息3．建立了針對網(wǎng)站的評估與更新機制.BP21：定義安全需求基線（等級：1-3）該BP包含3個評價指標：1．安全需求基線包含通用的安全需求2．安全需求基線包含產(chǎn)品相關的合規(guī)需求3．建立了針對安全需求基線的評估和更新機制.BP22：定義安全編碼規(guī)范（等級：1-3）該BP包含1個評價指標：1．安全編碼規(guī)范涵蓋了公司的編程語言和開發(fā)框架.BP23：定義代碼安全審核標準（等級：1-3）該BP包含1個評價指標：1．定義了代碼安全審核相關活動的要求和審批要求.BP24：定義第三方開源組件分析活動標準（等級：1-3）該BP包含2個評價指標：1．定義了漏洞風險等級分類標準2．定義了各種軟件許可協(xié)議的法律風險等級.BP25：定義安全紅線（等級：1-2）該BP包含1個評價指標：1．安全紅線涵蓋公司的所有軟件系統(tǒng).BP26：定義安全測試標準（等級：1-3）該BP包含3個評價指標：T/ZHSIAXXX—XXXX1．標準涵蓋：要求設計安全測試用例2．標準涵蓋：要求安全用例覆蓋全部安全需求3．標準涵蓋：要求把安全測試發(fā)現(xiàn)的問題登記在漏洞管理平臺跟蹤.BP27：定義數(shù)據(jù)庫、中間件和操作系統(tǒng)的安全配置基線（等級：1-3）該BP包含2個評價指標：1．安全配置基線蓋各產(chǎn)品開發(fā)所用到的數(shù)據(jù)庫、中間件和操作系統(tǒng)2．建立了針對安全配置基線的評估和更新機制0.BP28：定義漏洞管理標準（等級：1-3）該BP包含2個評價指標：1．定義了漏洞分類分級的標準2．定義了基于漏洞等級的處理標準7.5.DevSecOps能力7.5.1.評估子域描述隨著近些年DevSecOps推廣的不斷深入，越來越多的企業(yè)開始意識到需要在企業(yè)內(nèi)部建立一個將整個安全研發(fā)流程順暢管理起來的DevSecOps平臺。但對于DevSecOps平臺在安全性上需要做何考量，多數(shù)企業(yè)可能有少許細節(jié)的思考，但如何從更高的系統(tǒng)級維度進行設計，可能還沒有更多可以參考的經(jīng)驗。在本模型中，“DevSecOps工具”子域描述了在建設DevSecOps工具時，明確了需要對DevSecOps平臺做怎樣設計的要求。7.5.2.基本實踐.BP29：使用自動化管理平臺進行安全管理（等級：1-5）該BP包含5個評價指標：1．安全工具的集成能力2．數(shù)據(jù)的管理能力3．權限控制能力5．SDL量化能力T/ZHSIAXXX—XXXX7.6.敏感數(shù)據(jù)處理7.6.1.評估子域描述為了保護敏感數(shù)據(jù)的安全性，軟件開發(fā)組織需要采取一系列措施，如對敏感數(shù)據(jù)進行加密、安全傳輸、安全存儲、密鑰管理、數(shù)據(jù)脫敏等，確保敏感數(shù)據(jù)不被非法獲取。加密是保證敏感數(shù)據(jù)安全性的基本手段，即使加密過的敏感數(shù)據(jù)被非法泄露到外部，也能保證內(nèi)容不可讀。在此基礎上，將加密過后的敏感數(shù)據(jù)存儲在安全的位置，并對密鑰進行管理也是保護敏感數(shù)據(jù)機密性的核心工作，這將直接影響到敏感數(shù)據(jù)的安全性，因此敏感數(shù)據(jù)的訪問控制和備份以及密鑰的生成、存儲、分發(fā)、更新和銷毀，組織都必須予以重視。在數(shù)據(jù)傳輸方面，通常采用HTTPS或TLS等安全協(xié)議，以確保數(shù)據(jù)在傳輸過程中不被竊取或篡改。數(shù)據(jù)脫敏可以在保證數(shù)據(jù)可用性的前提下，隱藏或部分顯示敏感數(shù)據(jù)，以保護個人隱私和數(shù)據(jù)安全。鑒于敏感數(shù)據(jù)安全處理需要從多個方面進行考慮，組織應該綜合實現(xiàn)敏感數(shù)據(jù)從生成、傳輸、存儲到使用的完整安全處理流程。7.6.2.基本實踐在組織的開發(fā)過程中需求環(huán)節(jié)，建立針對性的安全需求分析機制，分析組織內(nèi)軟件或應用系統(tǒng)軟件的安全需求，跟蹤安全需求的實現(xiàn)情況。.BP30：根據(jù)數(shù)據(jù)的類別進行標識（等級：1-3）該BP包含1個評價指標：1．建立了針對不同類別數(shù)據(jù)的標識的技術方案.BP31：對敏感數(shù)據(jù)進行安全處理（等級：1-3）該BP包含1個評價指標：1．建立了數(shù)據(jù)加解密和數(shù)據(jù)脫敏的技術方案8.觸點域8.1.安全需求分析8.1.1.評估子域描述T/ZHSIAXXX—XXXX安全基線規(guī)定了軟件系統(tǒng)在安全、合規(guī)以及漏洞方面的基礎要求，軟件開發(fā)組織需要按照組織定義的安全基線，識別每一項業(yè)務需求，并將其轉化為安全需求。安全需求的例子包括：為新增的重要業(yè)務功能采用多因素的方式來認證身份，收集敏感數(shù)據(jù)時彈窗提示用戶收集的數(shù)據(jù)及其用途，為WEB應用訂單的提交增加預防WEB安全漏洞的功能等。建立并維護一套安全需求知識庫，將有助于團隊準確而高效的識別安全需求。安全需求知識庫的建立是一個長期的過程，并且要根據(jù)新的業(yè)務場景、使用新的技術手段，保持安全需求知識庫的時效性。8.1.2.基本實踐在組織的開發(fā)過程中需求環(huán)節(jié)，建立針對性的安全需求分析機制，分析組織內(nèi)軟件或應用系統(tǒng)軟件的安全需求，跟蹤安全需求的實現(xiàn)情況。.BP32：識別安全需求（等級：1-3）該BP包含3個評價指標：1．開展安全需求分析，定義了安全需求實現(xiàn)的計劃2．安全需求的定義和分析過程經(jīng)過了評審3．安全需求的實現(xiàn)情況得到追蹤8.2.安全設計8.2.1.評估子域描述“安全設計”包括安全需求所引導的安全設計，以及從攻擊者角度出發(fā)的安全威脅分析，還有軟件層次的整體性架構設計。8.2.2.基本實踐在組織的開發(fā)過程中需求環(huán)節(jié)，建立針對性的安全需求分析機制，分析組織內(nèi)軟件或應用系統(tǒng)軟件的安全需求，跟蹤安全需求的實現(xiàn)情況。.BP33：使用安全設計原則（等級：1-3）該BP包含1個評價指標：1．參與設計的架構師或其他角色，熟悉常見安全設計原則并充分考慮安全T/ZHSIAXXX—XXXX.BP34：安全團隊參與系統(tǒng)架構活動（等級：1-3）該BP包含2個評價指標：1．組織內(nèi)有能參與安全架構活動的安全架構師2．安全架構師參與軟件系統(tǒng)的系統(tǒng)架構活動.BP35：開展威脅分析（等級：1-5）該BP包含2個評價指標：1．使用了威脅分析模型尋找系統(tǒng)潛在威脅2．對識別到的威脅制定了相應的策略，策略經(jīng)過評審.BP36：根據(jù)安全需求進行安全設計（等級：1-3）該BP包含3個評價指標：1．開展了架構安全設計2．已知的安全需求都經(jīng)過了安全設計3．針對安全需求的設計都得到了評審8.3.安全實現(xiàn)8.3.1.評估子域描述安全實現(xiàn)包含了安全代碼審計和安全編碼兩部分，安全編碼指在安全設計的指引下進行代碼的實現(xiàn)，安全代碼審計是為了防止非預期的漏洞被遺漏。8.3.2.基本實踐在組織的開發(fā)過程中需求環(huán)節(jié)，建立針對性的安全需求分析機制，分析組織內(nèi)軟件或應用系統(tǒng)軟件的安全需求，跟蹤安全需求的實現(xiàn)情況。.BP37：執(zhí)行代碼安全審核（等級：1-3）該BP包含3個評價指標：1．進行了代碼提交觸發(fā)了人工或自動化的審核；2．使用了自動化工具進行代碼安全檢查；T/ZHSIAXXX—XXXX3．根據(jù)漏洞管理標準對代碼安全審核的結果進行處理。.BP38：執(zhí)行安全編碼規(guī)范檢查（等級：1-4）該BP包含1個評價指標：1．采用人工或自動化方式對代碼進行安全檢查。.BP39：對軟件系統(tǒng)執(zhí)行第三方組件安全掃描（等級：1-3）該BP包含2個評價指標：1．制定了第三方組件安全掃描策略；2．按照漏洞管理標準對SCA的掃描結果進行處理。8.4.安全測試8.4.1.評估子域描述“安全測試”是基于安全需求引導而來的對于安全實現(xiàn)的確認，其中包括工具的使用以及測試結果的評估。8.4.2.基本實踐在組織的開發(fā)過程中需求環(huán)節(jié)，建立針對性的安全需求分析機制，分析組織內(nèi)軟件或應用系統(tǒng)軟件的安全需求，跟蹤安全需求的實現(xiàn)情況。.BP40：執(zhí)行安全測試（等級：1-3）該BP包含3個評價指標：1．設計了針對安全需求的安全測試用例；2．根據(jù)安全測試用例執(zhí)行了對系統(tǒng)的安全測試活動；3．測試用例和安全需求可雙向追溯。.BP41：使用自研工具進行安全測試（等級：1-4）該BP包含2個評價指標：1．使用了IAST/DAST工具進行安全測試；2．使用了自研的安全測試工具。T/ZHSIAXXX—XXXX9.運維域9.1.滲透測試9.1.1.評估子域描述“滲透測試”是上線前對軟件殘余風險的最后確認。9.1.2.基本實踐.BP42：執(zhí)行滲透測試（等級：1-3）該BP包含2個評價指標：1．進行了系統(tǒng)上線前執(zhí)行滲透測試；2．進行了系統(tǒng)上線后執(zhí)行滲透測試。9.2.軟件環(huán)境9.2.1.評估子域描述“軟件環(huán)境”描述了軟件在運行環(huán)境需要考慮的安全基線并根據(jù)基線的內(nèi)容對環(huán)境進行檢測和加固。9.2.2.基本實踐.BP43：建立環(huán)境隔離策略（等級：1-3）該BP包含2個評價指標：1．建立并維護了公網(wǎng)和私網(wǎng)的隔離策略；2．建立了開發(fā)環(huán)境與生產(chǎn)環(huán)境隔離策略。.BP44：建立統(tǒng)一的標準軟件庫（等級：1-3）該BP包含1個評價指標：1．建立并維護了標準系統(tǒng)、數(shù)據(jù)庫。.BP45：實施系統(tǒng)安全基線加固方案（等級：1-4）T/ZHSIAXXX—XXXX該BP包含1個評價指標：1．實施了操作系統(tǒng)、數(shù)據(jù)庫、中間件加固方案。.BP46：實施安全的容器化部署方案（等級：1-5）該BP包含4個評價指標：1．建立了容器基礎鏡像；2．建立了容器架構保護策略；3．建立了容器訪問和身份認證策略；4．建立了容器化編排部署平臺。9.3.運營支持9.3.1.評估子域描述“運營支持”描述了軟件開發(fā)組織以業(yè)務安全為目標，保障應用安全運營的相關能力。相關實踐包括建立運營支持小組、維護操作環(huán)境規(guī)范說明、建立持續(xù)監(jiān)控機制和持續(xù)優(yōu)化安全策略等。9.3.2.基本實踐.BP47：建立擁有安全能力的運營支持小組（等級：1-3）該BP包含3個評價指標：1．建立了的運營小組中有負責安全能力的人員、角色對組織的安全運營負責；2．運營流程中包含對安全事件發(fā)生的處理環(huán)節(jié)；3．建立了運營支持小組安全人員考核機制。.BP48：維護操作環(huán)境規(guī)范說明（等級：1-3）該BP包含1個評價指標：1．明確了部署運維安全操作規(guī)范。.BP49：建立持續(xù)監(jiān)控機制（等級：1-4）該BP包含4個評價指標：1．建立了白帽子測試渠道；T/ZHSIAXXX—XXXX2．制定了監(jiān)控發(fā)現(xiàn)安全漏洞后反饋跟蹤流程；3．部署了入侵檢測、防御系統(tǒng)；4．部署了防火墻。.BP50：持續(xù)優(yōu)化安全策略（等級：1-5）該BP包含1個評價指標：1．優(yōu)化防火墻、網(wǎng)關安全策略。.BP51：建立安全補丁與更新管理流程（等級：1-3）該BP包含2個評價指標：1．制定了評估和更新應用程序的要求；2．制定了評估第三方組件并審查補丁修復的要求。.BP52：建立持續(xù)審計機制（等級：1-5）該BP包含2個評價指標：1．應用程序的運行日志進行收集和歸一化預處理；2．聯(lián)合了日志分析進行安全告警。9.4.應急響應9.4.1.評估子域描述“應急響應”描述了軟件開發(fā)組織對安全事件的響應、處理和恢復能力。其實踐包括建立應急小組和制定應急響應預案。9.4.2.基本實踐.BP53：建立擁有安全能力的應急小組（等級：1-3）該BP包含2個評價指標：1．建立了應急響應小組并明確組成成員及人員職責分配；2．建立了對應急響應組織人員考核機制。T/ZHSIAXXX—XXXX.BP54：制定應急響應預案（等級：1-3）該BP包含2個評價指標：1．制定了應急響應預案；2．開展了校驗應急響應預案有效性的演練。T/ZHSIAXXX—XXXX（資料性附錄）能力成熟度等級評估參考方法組織機構的安全開發(fā)能力成熟度等級取決于各個安全開發(fā)子域的能力成熟度等級。各個安全開發(fā)子域的成熟度等級取決于該子域中的基礎實踐對于目標等級的滿足情況。本標準不對評級方法做具體限定，表A.1給出一種綜合判定參考方法，供評估人員參考。3…域的得分范圍，劃出5個相等的區(qū)間，計算安全域下所有基本實踐的均值，均值落入的區(qū)間即為T/ZHSIAXXX—XXXX（資料性附錄）能力成熟度等級評估流程和模型使用方法(一)能力成熟度等級評估流程軟件研發(fā)安全能力成熟度等級的評估從監(jiān)管域、能力域、觸點域和運維域4個安全領域展開。通過對各項安全過程所需具備安全能力的評估，可評估組織在每項安全過程的實現(xiàn)能力屬于哪一等級。評估的工作流程、信息收集維度、評估方式如下文所述。評估工作流程：1)確定模型適用范圍：分析需要保護的開發(fā)資產(chǎn)及業(yè)務范圍，確定模型使用或評估范圍；2)確定能力成熟度級別目標：分析組織機構安全開發(fā)風險，確定能力成熟度等級建設目標；3)選取安全子域：針對組織機構的開發(fā)相關的業(yè)務現(xiàn)狀，選取適當?shù)陌踩_發(fā)子域。例如，對于有的組織機構而言，不存在第三方組件的處理，則無需選擇第三方組件的子域；4)執(zhí)行基礎實踐：依據(jù)標準對各等級安全開發(fā)基礎實踐要求，從4個關鍵能力進行落地和不斷改進提升；5)子域安全評估：基于選擇的安全子域范疇，針對各項安全子域對組織機構的安全開發(fā)實踐情況進行現(xiàn)狀的調(diào)研和分析。確定該子域的等級，參見表A.1；6)確定組織機構整體等級：結合所有子域的等級，確定組織機構整體的安全開發(fā)能力成熟度等級，對安全開發(fā)能力進行持續(xù)建設和改進。信息收集維度：1)組織建設：評估是否具有開展工作的專職/兼職崗位、團隊或人員，其工作職責是