TSM可信研发运营安全能力成熟度水位图报告

版权声明本报告版权属于云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：云计算开源产业联盟”。违反上述声明者，本联盟将追究其相关法律责任。报告在编写过程中，历经概念策划、提纲设计、内容起草、征求意见等阶段，得到了中国信息通信研究院云计算与大数据研究所、华为技术有限公司、招商银行股份有限公司、中国民生银行股份有限公司、重庆长安汽车股份有限公司、天翼安全科技有限公司、中电科网络安全科技股份有限公司、湖南数据产业集团有限公司、金蝶软件（中国）有限公司、用友网络科技股份有限公司、软通动力信息技术（集团）有限公司、浪潮通信信息系统有限公司、上海爱数信息技术股份有限公司、深信服科技股份有限公司、北京信安世纪科技股份有限公司、科大讯飞股份有限公司、北京优锘科技股份有限公司、深圳星网信通科技股份有限公司、北京数字冰雹信息技术有限公司、北京图盟科技有限公司、南京奥看信息科技有限公司、北京凌云雀科技有限公司、北京博能科技股份有限公司、北京永洪商智科技有限公司、上海宇高通讯设备有限公司、中软国际科技服务有限公司、三未信安科技股份有限公司、北京安博通科技股份有限公司、杭州孝道科技有限公司、北京天融信网络安全技术有限公司的大力支持，在此一并致谢。 引言“安全左移”理念已诞生多年，安全左移强调进行安全早期介入，贯穿软件服务全生命周期，一方面将实现风险安全可控，做到风险漏洞早发现、早修复，降低成本，提高收益；另一方面将反向推动企业建立安全文化，提升研发、运营、安全团队协作意识。报告编写团队依据《可信研发运营安全能力成熟度模型》标准持续开展TSM评估工作，在积累一定样本量之后，于2023年分析评估细节，首次编写《TSM可信研发运营安全能力水位图报告》。今年针对报告内容进行更新，形成《TSM可信研发运营安全能力水位图报告》2.0版本。2.0版本报告进一步洞察安全开发全生命周期的关键活动与技术演进，提出更加具有针对性和实用性的解决方案。本报告旨在绘制TSM整体评估水位图，为企业提供参考，同时帮助企业对标业界优秀实践，将自身安全能力量化，探索构筑符合企业自身情况的全生命周期研发运营安全体系，提升企业产品市场竞争力。报告首先明确TSM（全称：Trustworthy evaluation of Securitymaturity Model）可信研发运营安全能力成熟度工作背景，梳理国内外研发运营安全现状并介绍可信研发运营安全能力成熟度工作概况。其次，从五大领域十七类子项详细介绍TSM水位图构成，明确水位图绘制依据，指出TSM水位图助力企业明确安全现状，完善改进计划。再次，报告团队对30余家企业TSM评估情况进行分析，指出目前企 业研发运营安全体系建设短板与优势，并与1.0版本水位图进行比对分析。此外，报告从人员、流程、技术三个层面洞察安全开发全生命周期的关键活动与技术演进。最后，报告团队也将从丰富行业数据、完善水位图考察指标、扩大评估样本数量建立用户反馈机制四方面持续完善《TSM可信研发运营安全能力水位图报告》，助力业界可信安全生态建设。 目录一、整体概述................................................................................................................1（一）研发运营安全问题凸显，影响广泛......................................................1（二）TSM可信研发运营安全能力成熟度相关工作介绍.............................3二、TSM水位图介绍..................................................................................................6（一）TSM水位图框架：覆盖软件开发全生命周期，划分为5大领域17类子项............................................................................................................................6（二）TSM水位图作用：助力企业量化安全建设能力，明确改进计划.....8三、TSM水位图结果分析..........................................................................................9（一）评估参与企业..........................................................................................9（二）TSM水位图结果...................................................................................12（三）TSM水位图结果分析...........................................................................15四、可信研发运营安全关键活动演进......................................................................21（一）人员层面：安全文化建设与协同机制逐步完善................................21（二）流程层面：从阶段管控到自动化常态化跃进....................................25（三）技术层面：实现从被动响应到安全前置的能力升级........................28五、下一步工作计划..................................................................................................28附录1：TSM水位图活动详解.................................................................................33附录2：TSM企业能力自评表.................................................................................52 图目录图1可信研发运营安全能力模型..........................................................4图2 TSM可信研发运营安全能力水位图模型......................................8图3评估参与企业人员规模................................................................10图表4评估参与企业所属区域............................................................11图5评估参与企业所属行业................................................................11图6 TSM可信研发运营安全能力水位图............................................15图7 TSM可信研发运营安全能力水位图对比....................................19表目录表1 TSM可信研发运营安全能力水位图要素......................................6表2 TSM可信研发运营安全能力企业总体得分................................12表3 TSM可信研发运营安全能力示例企业自评表............................52 一、整体概述（一）研发运营安全问题凸显，影响广泛随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，软件应用服务的自身安全问题也成为业界关注的焦点。软件漏洞引发的安全事件日益频繁，对业务运行和个人信息安全造成重大隐患。2024年12月，黑客利用第三方安全厂商BeyondTrust的远程支持服务中的API密钥漏洞成功访问部分美国财政部工作站与非机密文件，导致财政监管机构内部政策信息与审查文件泄露。2025年4月，英国法律援助署IT系统因为长期存在漏洞，黑客成功侵入并复制约210万份申请者档案，造成法律程序被迫延迟，司法服务中断，政府信誉与公众信任大跌。软件安全事件不仅带来技术层面的损失，更对国家安全、公共服务稳定与政府信誉构成系统性冲击。软件供应链存在的诸多漏洞成为软件安全生态主要攻击入口。2024年底，黑客组织Lazarus Group发起了一场名为Phantom Circuit的大规模供应链攻击，通过在克隆的开源软件中嵌入后门，导致多名受害者中招，数十万安全工程师的SSH密钥、AWS凭证等信息被窃取，软件供应链安全已成为保障软件生态稳定与防范系统性风险的关键要素。根据2023年Sonatype发布的报告显示，从2019年到2022年，软件供应链攻击事件呈现出高发态势，三年间安全事件的年平均增长率达到了742%，且仍将保持高速增长。同时，Cowbell的最新 1/45 2/45网络风险报告显示，2021年至2023年间供应链攻击激增了431%，到2025年这一数字仍将继续大幅上升。因此，企业愈发重视开发、运维、安全等环节的协同整合，研发运营一体化模式成为提升软件交付效率、系统稳定性与软件安全保障能力的重要发展方向。企业研发运营安全管理与能力不足是软件安全漏洞产生的关键原因之一。部分企业整体缺乏安全意识，在研发运营周期中过于依赖工具进行安全检测和漏洞修复，导致漏洞经常在后期才发现，修复成本激增。根据2024年1月Security Journey发布的一项关于安全编码培训现状调查报告显示，仅20%的组织有信心在应用发布前检测到漏洞，68%的组织仅在合规检查或发生重大事件后才安排安全培训。此外，企业对组件的依赖与管理可能存在系统性缺陷和漏洞管理流程滞后等问题。Veracode《State ofSoftware Security 2025》调查显示，70%的关键安全债务来自第三方代码与供应链，平均漏洞修复周期延长47%。国内外通过“技术标准+监管制度"的协同治理模式推进研发运营安全发展。2025年，美国网络安全与基础设施安全局（CISA）发布了针对IT行业的特定安全目标（SSG），补充了跨部门网络安全绩效目标（CPG），旨在提高软件开发的安全性。2022年，为响应EO 14028《关于改善国家网络安全的行政令》要求，美国国家标准与技术研究所（NIST）修订发布NIST SP 800-218《安全软件开发框架》，旨在为软件开发过程中的安全性提供指导，以降低软件漏洞的风险。此外， 3/45NIST SP 800-218还被纳入了联邦采购条例中，成为合同要求的一部分，意味着所有与美国政府签订合同的软件供应商都必须遵守这些安全开发实践。GB/T43698-2024《网络安全技术软件供应链安全要求》标准中明确软件供方在开发、交付、运维等环节的安全责任与供应活动。此外，国家互联网信息办公室于2023年发布的《网络产品和服务安全审查办法》也明确要求应审查产品及关键部件生产、测试、交付中的安全风险。（二）TSM可信研发运营安全能力成熟度相关工作介绍可信研发运营安全是指在涉及需求、设计、研发