團體標準Technicalspecificationforevaluatingsoftwares中國互聯網協會發布I 22規范性引用文件 23術語和定義 24縮略語 55安全開發體系評估模型 55.1成熟度模型架構 55.2安全能力維度 65.3能力成熟度等級維度 75.4安全開發過程維度 86安全需求 6.1PA01安全開發分類分級 6.2PA02威脅分析 6.3PA03安全需求管理 7安全設計 7.1PA04IT架構安全 7.2PA05安全設計管理 7.3PA06第三方組件安全管理 8安全編碼 8.1PA07安全編碼管理 9安全測試 9.1PA08代碼審計 9.2PA09滲透測試 10安全部署/發布 10.1PA10安全配置管理 10.2PA11軟件/應用自我防御加固 11安全運維 11.1PA12應急響應 11.2PA13安全持續保障 12基礎安全 12.1PA14安全培訓 12.2PA15組織和人員管理 12.3PA16合規管理 12.4PA17開發測試環境安全管理 12.5PA18軟件資產管理 B.1能力成熟度等級評估流程 B.2能力成熟度模型使用方法 參考文獻 411本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本標準由中國互聯網協會歸口。本文件起草單位：中國信息通信研究院、北京國舜科技股份有限公司、北京風行網安科技有限公司、深圳開源互聯網安全技術有限公司、揚州數安技術有限公司、中國石油昆侖數智科技有限責任公司、中國民航信息網絡股份有限公司、中郵信息科技(北京)有限公司、中國經濟信息社、中國移動通信集團設計院有限公司、中國電力科學研究院有限公司、中建數字科技有限公司、北京航天繪景、OpenSDV汽車軟件開源聯盟、杭州默安科技有限公司、北京智精靈科技有限公司、北京德安信華科技有限公司、四川賽闖檢測股份有限公司、成都信息工程大學、北京龍盾數據有限公司、網宿科技股份有限公司、北京微步在線科技有限公司、阿里巴巴集團、仁壽智仁智慧科技有限公司、四川仁恒智合科技有限公司、江蘇大道云隱科技有限公司。本文件主要起草人：蔣阿芳、馬英軒、樊可欣、湯志剛、于偉杰、郭治文、張志強、王頡、張磊、王曉龍、滕征岑、張嵩、孫忠偉、楊京煜、王宇、翟冬梅、馬德斌、陳長勝、馬周瓊、馮麗、袁麗、馬欣、秦元、黃莎琳、呂士表、楊志偉、童兆豐、婁珽、吳孟晴、黨杜均、鄧恒、黃圣超。2軟件安全開發能力評估技術規范身的安全開發能力評估和過程改進，適用于第三方開展軟件安全開發體系28458-2020、GB/T24363-2009界定的以及34在評估中用于不能清晰界定屬于某一安全過程域而重要且基礎的安全開發相關活動。5BP：基本實踐（BasePractiSSDCMM：軟件安全開發能力成熟度模型（SoftwareSecureDevelopmentCapabilityDevOps：研發運營一體化（DevelopmentandOperatioSCA：軟件成分分析（SoftwareCompositIAST：交互式應用程序安全測試（Inte6安全能力維度明確了組織在安全開發領域應具備的能力，包括組織建設、制度流安全開發能力成熟度等級劃分為五級，具體包括：1劃跟蹤級，3級是充分定義級，4級是量化控制級，5級是持續優2）開發生命周期安全過程具體包括：安全需求、安全設計、安全編碼、安全測c）技術工具：通過技術手段和產品工具落實安全開發要求或自動化實現安全開發工d）人員能力：執行安全開發工作人員的安全從承擔安全開發工作組織應具備的組織建設能力角度，根據以下方面進行能力等級區從組織在安全開發制度流程的建設以及執行情況角度，根據以下方面進行能力等級區7從組織用于開展安全開發工作的安全技術、應用系統和工具出發，根據以下方面進行a）安全開發技術在開發全生命周期過程中的利用情況，應對開發全生命周期安全風b）利用技術工具對安全開發工作的自動化支持能力，對安全開發制度流程固化執行從組織承擔安全開發工作人員應具備的能力出發，根據以下方面進行能力等a）安全開發人員所具備的安全開發技能是否能夠滿足實現安全目標的能力要求（對b）開發團隊的安全意識以及對關鍵安全開發崗位員工安全開發能力的部分軟件和應用系統開發執行過程中根據臨時的需求執行了相關作的人員未達到相應能力。所執行的過程稱為“非正式過程”發安全過程，依賴于個人a）規劃執行：對開發安全過程進行規劃，提前分配資源和責b）執行：對開發安全過程進行控制，使用執行計劃、執行基于c）驗證執行：確認過程按預定的方式執行，驗證過程的執行與d）跟蹤執行：控制安全開發過程執行的進展，當過程實踐與計在重要軟件和重要應用系統的開發中，主動地實現了安全過程的計劃與執對執行質量沒有規范性要a）定義標準過程：組織對標準過程進行制度化，為組織定義標在組織級別實現了安全過8b）執行已定義的過程：充分定義的過程是可重復執行的，并使用過程執行的結果數據，對有缺陷的過程結果和安全實踐進c）協調安全實踐：確定各技術團隊之間、組織外部活動的協調b）客觀地管理執行：確定過程能力的量化測量，使用量化測量建立了量化目標，安全過b）改進過程有效性：制定處于持續改進狀態下的規程，對規程根據組織的整體目標，不a）將組織在每個安全開發PA的能力成熟度劃分為五級，針對每個等級下組織應具d）安全測試：在軟件開發的測試階段，驗9e）安全部署/發布：對于應用系統軟件，在軟件部署階段，按照安全需求，參照安全照安全設計，對通用軟件的默認配置進行安全特定的軟件安全開發所經歷的生命周期由實際的業務所決定，可為完整的6個階段或全管理3個PA；件安全發布3個PA；組織內部的開發項目分類分級方法，開發項目包括新建系統的項目和系統升級改造的項目，a）組織建設：應由開發團隊或項目管理團隊人員負責相關系統和開發項目的分類分a）組織建設：組織應設立負責系統和開發項目分類分級工作的管理崗位和人員，主3）應明確開發項目分類分級變更審批流程和機制，通過該流程保證對開發分類c）技術工具：應在所有開發管理工具和安全開發工具中體現開發項目分類分級信息d）人員能力：負責該項工作的人員應了解系統和開發項目分類分級的要求，能夠識a）應能自動化進行開發項目的分類分級，記錄自動分類分級結果與人工審核后的分類分級結果之間的差異，定期分析改進分類分級標識工具，提升工具處理的準確b）應對開發項目分類分級的操作、變更過程進行日志記錄和分析，定期通過日志分a）制度流程：應定期評審開發項目分類分級的規范和細則，考慮其內容是否完全覆b）技術工具：應跟蹤開發項目分類分級標識效果，持續改進開發項目分類分級的技脅項，并針對威脅項進行風險評估，提出相應的消除、緩解措施，即安組織建設：組織未建立成熟的威脅建模方法論，在安全需求階段僅憑個人經驗由安全a）組織建設：組織應明確執行威脅分析的開發團隊和安全團隊人員的角色和職責，負d）人員能力：負責該項工作的人員應了解威脅建模的內容和實施規范，具備對威脅項技術方案：在業界分享相關威脅建模的方法論和工具最佳實踐，成為行業標桿組織建設：未建立成熟穩定的安全需求分析機制，僅根據臨時需求或基于個人經驗對a）組織建設：組織應設立負責安全開發需求分析的崗位和人員，負責對業務系統需求分析階段開展安全需求分析工作，確保安全需求的有效制定和規范化表達1）應明確安全需求分析的流程和評審機制，明確安全需求文檔內容要求2）應依據國家法律、法規、標準等要求，分析軟件或應用系統軟件的安全合規3）應識別軟件或應用系統軟件面臨的潛在威脅和自身潛在脆弱性，分析安全風1）應建立承載安全需求分析活動的安全需求分析系統，該系統記錄所有開發項目的安全需求分析結果，以保證對所有的安全需求分析過程的有效追溯d）人員能力：負責該項工作的人員應具有安全需求分析能力，對組織的安全需求管理有充分的理解，并通過培訓實現各業務的需求分析人員對安全需求分析標準的a）制度流程：應使用威脅驅動分析方法或模型，對業務系統的潛在威脅和自身潛在a）制度流程：應持續優化安全開發需求分析，以保證符合組織發展戰略和業務發展b）人員能力：負責該項工作的人員應具有應對新技術新場景的安全需求分析挖掘能通訊安全架構等安全內容，從而保證系統架構層面的b）制度流程：應在架構管理的制度中明確架構安全的管理要求，關鍵業務的架構設c）技術工具：應部署相關設備支撐安全架構設計，如加解密設備、統一用戶登錄平d）人員能力：負責該項工作的人員應具有架構安全設計的能力，了解架構安全規范，為實現安全需求，建立對應的安全設計，保證組織內業務的安全需求實組織建設：組織未建立成熟穩定的安全設計機制，僅根據臨時需求或基于個人經驗對a）組織建設：組織應設立負責安全開發設計的崗位和人員，負責在軟件設計階段開2）安全設計除滿足安全需求外，還應滿足國家法律、法規、標準等未在安全需1）應建立安全設計管理系統，該系統記錄所有項目的安全設計結果，以保證對2）能夠建立組織的安全設計標準方案庫，并建立安全需求與安全設計的自動關d）人員能力：負責該項工作的人員應具有安全設計能力，對組織的安全設計管理有充分的理解，對組織的安全設計標準方案有充分的理解并能在安全設計中靈活應用，以及通過培訓實現各業務的安全設計人員對安全設計標準的一致性理解a）制度流程：應持續優化安全設計規范，安全設計標準庫，以保證符合組織發展戰b）人員能力：負責該項工作的人員應具有應對新技術新場景的安全設計能力a）組織建設：組織應設立第三方組件安全管理的崗位和人員，負責制定相關的第三方組件安全管理的制度，推動相關要求、流程的落地，并對具體業務或項目的第2）應在第三方組件引入時，對其風險進行評估，包括來源的合法性，軟件許可d）人員能力：負責該項工作的人員應能夠充分理解第三方組件的安全要求，并能夠b）制度流程：在重要軟件和重要應用系統建設中應將代碼安全管控作為必要的環節1）應明確編碼安全的技術規范，編寫編碼安全指南指導開發團隊安全編碼2）應明確編碼環節中，開發團隊的內部編碼安全管控機制，明確編碼安全的評審機制，利用內部交叉檢查、外部代碼審計等常規手段進行安全編碼管控b)考慮通過部分安全組件代碼開源方式，在業界分享最佳實踐，成為行業標桿組織建設：組織未建立成熟穩定的代碼安全檢測手段，僅根據臨時需求或基于個人經a）組織建設：組織應設立負責代碼安全檢測崗位和人員，負責制定統一的代碼安全1）應明確對代碼安全檢測的內容以及技術規范，明確代碼安全評審的要求1）應采用自動和人工審計相結合的方法或手段對代碼進行靜態代碼安全檢測d）人員能力：負責該項工作的人員應了解代碼安全檢測的內容和技術規范，具備對b）人員能力：負責該項工作的人員應充分理解代碼安全檢測的要求，可以持續優化c）人員能力：負責模擬攻擊測試工作的人員理解模擬攻擊的要求，能夠進行有效的3）應明確模擬攻擊測試的安全評審的要求，包括清晰的安全質量通過標準1）應采用自動和人工模擬攻擊相結合的方式和手段，檢測主機、操作系統、數2）應采用自動和人工模擬攻擊相結合的方式和手段，檢測應用系統的安全性，3）應采用自動和人工模擬攻擊相結合的方式和手段，檢測應用系統的業務邏輯組織建設：未在組織建立成熟穩定的配置安全管理，僅根據臨時需求或基于個人經驗b）制度流程：應明確重要軟件發布或重要應用系統軟件部署的安全配置和審核流程1）應明確軟件發布或應用系統軟件部署的配置安全審核制度，審核配置方案是2）應審核正式發布版本或正式部署版本的配置與最后測試版本配置的差異性，3）應審核配置方案中的配置項完整性，防止配置缺失而影響系統安全性c）技術工具：應在發布/部署流程管控中具備配置安全審核的內容，并對配置方案存組織建設：組織未建立成熟穩定的軟件/應用自我防御加固方案，僅根據臨時需求或基a)組織建設：應由開發團隊或運維團隊相關人員負責對應用實施應用自我防御加固b)制度流程：重要軟件和重要應用系統開發應建立明確的軟件/應用自我防御加固方a)組織建設：組織應在開發團隊或者安全團隊設立負責應用自我防御加固的崗位和d)人員能力：負責該項工作的人員應了解軟件/應人員能力：負責該項工作的人員應充分了解軟件/應用自身安全加固的原理，可以持續組織建設：未在組織建立成熟穩定的發布安全管理，僅根據臨時需求或基于個人經驗a）組織建設：應由開發團隊或運維團隊的相關人員負責軟件發布安全控制c）人員能力：負責軟件發布安全工作的人員應基本理解軟件安全發布的要求2）應明確軟件發布的安全審核制度，審核發布方案是否符合安全要求，所選擇3）應審核正式發布版本與最后測試版本配置的差異性，是否采取必要的電子簽4）應審核發布方案中的配置項完整性，保證充分利用發布渠道的安全機制建立針對已發布的軟件或已部署的應用系統軟件的應急響應體系，對各類安全事件進組織建設：未在組織建立成熟穩定的應急響應機制，僅根據臨時需求或基于個人經驗a）組織建設：已發布的軟件和已部署的重要應用系統應設立負責安全事件管理和應b）制度流程：已發布的軟件和已部署的重要應用系統應明確安全事件管理和應急響a）組織建設：組織應設立專職負責安全事件管理和應急響應的崗位和人員1）應明確安全事件管理和應急響應工作管理制度和流程，定義安全事件類型，d）人員能力：負責該項工作的人員應具備安全事件的判斷能力，熟悉安全事件應急組織建設：組織未建立成熟穩定的安全持續保障機制，僅根據臨時需求或基于個人經a）制度流程：相關部門對已發布的軟件或已部署的應用系統實施安全持續保障活動，a）組織建設：組織內應設立負責安全持續保障的崗位和人員，負責安全持續保障制1）應采用自動和人工模擬攻擊相結合的方式和手段，在保證不影響應用系統工作的前提下，檢測主機、操作系統、數據庫系統、中間件系統等的安全性2）應采用自動和人工參與相結合的方式和手段，跟蹤軟件相關第三方組件的安3）應有對已發布軟件或已部署應用系統軟件的漏洞和安全脆弱性進行管理的系d）人員能力：負責該項工作的人員應充分了解安全持續保障的管理制度和工作流程，a）制度流程：組織應定期對已發布的軟件或已部署的應用系統軟件安全性進行量化b）技術工具：能夠統計已發布的軟件或已部署的應用系統軟件的漏洞數量、漏洞種組織應通過傳授安全意識和技能來提高組織和人員的安全意識和防范能力，培訓的內容包括國家最新的安全政策和法規，近期重大軟件安全事件，新的安全管理制度和監督機組織建設：組織未在任何部門中設立固定的安全意識和技能培訓人員，僅根據團隊個人的經驗水平傳授安全意識和技能的相關知識，由個別人員臨時承擔了安全培訓的工作1）應由相關業務部門人員負責完成人力資源管理策略中的安全培訓要求1）人力資源部門與安全培訓部門的人員能夠進行有效配合，對培訓考核的結果1）應明確重要崗位人員的安全開發培訓計劃，并在重要崗位轉崗、崗位升級等2）組織對重要崗位人員的安全開發培訓計劃需要具備吸收外部資源在開發安全3）安全培訓部門對于組織內部的軟件安全實施情況有制度性的調查安排，清楚c）技術工具：應通過技術工具實現部分培訓內容的自動化和可拓展化，便于培訓內d）人員能力：培訓組織人員能夠了解當前開發安全現狀和對應的培訓要求，培訓講據培訓人員的反饋和組織內部要求不斷優化，針對不同能力水平的培訓對象實現定制化培通過建立組織內部負責安全開發工作的職能部門及崗位，以及對人力資源管理過程中各環節進行安全管理，防范組織和人員管理過程中存在的安全組織建設：組織未在任何部門中設立固定的安全開發管理人員，僅根據臨時需求或基2）重要軟件和重要應用系統開發應具有安全開發崗位和人員，以實現對安全開1）重要軟件和重要應用系統開發應對重要崗位候選者從法律法規、行業道德準c）人員能力：負責重要軟件和重要應用系統安全開發職能的人員，應能夠充分了解3）應建立組織內部的監督管理職能部門，負責對組織內部的需求、設計、開發、4）應指定安全開發的安全需求、安全設計、安全測試、安全部署/發布、安全運5）應明確組織層面承擔人員安全開發培訓管理職責的崗位和人員，負責對安全1）應明確安全開發相關部門或崗位的要求，明確其工作職責，以及職能部門之2）應明確安全開發追責機制，定期對責任部門和安全崗位組織安全檢查，形成3）應明確針對開發合作方的安全管理制度，并要求簽署保密協議，定期對合作4）應明確重要崗位人員的安全開發培訓計劃，并在重要崗位轉崗、崗位升級等c）技術工具：應通過技術工具自動化實現安全開發相關的人力資源管理流程1）負責組織和人員管理的人員應充分理解人力資源管理流程中可對安全風險進2）應開展針對員工入職過程中的安全開發教育，通過培訓、考試等手段提升其a）組織建設：應能夠持續優化組織的安全開發職能設置，以實現整體業務目標的優b）制度流程：應能夠持續優化組織和人員管理的相關流程，以保證符合業務發展的跟進組織需符合的法律法規和行業監管要求，以保證組織業務的發展不會面臨合規風組織建設：未在組織建立成熟穩定的安全開發合規工作，僅根據臨時需求或基于個人b）制度流程：重要軟件和重要應用系統開發應通過識別安全開發合規要求，將合規要求更新至重要軟件和重要應用系統開發相關的制度流程中，并在重要環節中設c）人員能力：負責該項工作的人員應基本理解安全開發的合規要求，并可基于業務a）組織建設：應在組織層面設立了專職負責安全開發合規的崗位和人員，負責明確安全開發合規需求，制定安全開發合規的技術規范和管理制度、流程，推進其在1）應明確組織所有的外部合規要求并形成清單，能夠定期通過跟進監管機構合規要求動態對該清單進行更新，同時將其拆分發送給相關方以進行宣貫2）應依據相關法律法規及行業監管要求，建立組織統一的安全開發制度和管控c）技術工具：應建立安全開發合規資料庫，相關人員可以通過該資料庫查詢合規要d）人員能力：負責該項過程的人員應具備對安全開發合規要求的解讀和分析能力組織建設：應設置專門的合規崗位，該崗位負責與監管機構對接，跟進監管機構的合a）組織建設：組織應設置開發測試環境管理崗位和人員，負責管理制度的制定和落2）應明確開發測試環境與其他環境的數據、文件、代碼導入、導出的管理制度1）應通過技術工具實現開發測試環境與其他網絡的邏輯隔離或物理隔離2）應通過技術工具實現對開發測試環境與其他環境數據、文件、代碼導入、導d）人員能力：負責安全開發測試環境安全的人員應了解安全管理需求，對數據、文通過建立針對組織軟件資產的有效管理手段，實現統一的管理b）制度流程：重要軟件和重要應用系統應制定軟件資產登記制度，建立軟件資產清a）組織建設：組織應設置軟件資產管理崗位和人員，對組織的軟件資產進行統一管2）應明確軟件資產登記機制，確保組織內部重要的軟件資產已有明確的管理者1）應通過技術工具執行軟件資產的登記，實現對軟件資產的自動屬性標識2）應建立軟件資產版本變更管理工具，并能夠及時更新軟件資產版本相關信息d）人員能力：負責統一管理組織軟件資產的人員應了解組織內部軟件資產的管理需技術工具：應能統計軟件資產的風險情況，合規情況，支持軟件資產管理的調整（資料性附錄）能力成熟度等級評估參考方法組織機構的安全開發能力成熟度等級取決于各個安全開發PA的能力成熟度等級。各個本標準不對評級方法做具體限定，表A.1給出一種綜合判定參考方法，供評估人員參表A.1PA評估表…（資料性附錄）能力成熟度等級評估流程和模型使用方法安全開發能力成熟度等級的評估從組織建設、制度流程、技術工具和人員能力4個關鍵能力展開。通過對各項安全過程所需具備安全能力的評估，可評估組織在每項安全過程1）確定模型適用范圍：分析需要保護的開發資產及業務范圍，確定模型使用或2）確定能力成熟度級別目標：分析組織機構安全開發風險，確定能力成熟度等3）選取安全PA：針對組織機構的開發相關的業務現狀，選取適當的安全開發PA。例如，對于有的組織機構而言，不存在第三方組件的第三方組件的PA；6）確定組織機構整體等級：結合所有PA發能力成熟度等級，對安全開發能力進行持續1）組織建設：評估是否具有開展工作的專職/兼職崗位、團隊或人2