S-SDLCCMM：2023年S-SDLCCMM软件安全开发能力成熟度模型报告（26页）.pdf

《S-SDLCCMM：2023年S-SDLCCMM软件安全开发能力成熟度模型报告（26页）.pdf》由会员分享，可在线阅读，更多相关《S-SDLCCMM：2023年S-SDLCCMM软件安全开发能力成熟度模型报告（26页）.pdf（26页珍藏版）》请在三个皮匠报告上搜索。

1、S-SDLC CMM 1 S-SDLC CMM 软件安全开发能力成熟度模型 S-SDLC CMM 2 文档修订记录 版本 变化状态 修订说明 日期 变更人 备注 V1.0 N 新建文档 2022-12-30 S-SDLC CMM V2.2 M 修订 2023-03-06 S-SDLC CMM V2.3 M 修订 2023-03-22 S-SDLC CMM S-SDLC CMM 3 目 录 Contents 文档修订记录.2 CONTENTS.3 1.背景.7 2.模型概述.7 2.1.什么是S-SDLC CMM.7 2.2.S-SDLC CMM术语表.7 2.3.S-SDLC CMM结构.7

2、2.4.S-SDLC CMM评估域概述.8 2.5.S-SDLC CMM成熟度级别.12 3.安全开发实践.14 3.1.监管.14 3.1.1.流程与政策.14 3.1.2.合规性.15 3.1.3.培训.15 3.1.4.软件供应链安全管理.16 3.2.能力.16 3.2.1.攻击模型.16 3.2.2.安全设计方案与安全开发组件.17 3.2.3.第三方组件库管理.17 3.2.4.标准与要求.18 3.2.5.敏感数据处理.19 3.3.触点.20 3.3.1.安全需求分析.20 3.3.2.安全设计.20 3.3.3.安全实现.21 3.3.4.安全测试.22 S-SDLC CMM

3、 4 3.4.运维.22 3.4.1.渗透测试.22 3.4.2.软件环境.22 3.4.3.运营支持.23 3.4.4.应急响应.24 4.S-SDLC CMM 线上社区.25 5.特别鸣谢.26 S-SDLC CMM 5 作 者 徐瑞祝、罗欣然、许昌恒、汪东星、莫逢涛、林文龙、车逸轩、吴宇莫 S-SDLC CMM 6 Part 01 模型概述 S-SDLC CMM 7 1.背景 在过去十年的时间里，我们对金融、通讯、软件服务、房地产等行业的部分头部企业进行了软件安全开发体系建设的深入调研，结果显示很多软件开发组织或多或少执行了软件安全开发的实践，但他们其实并不清楚组织自身的安全开发能力处于

4、哪一个水平，与行业最佳实践有哪些差距。虽然现有公开的一些安全开发能力评估模型都包含了常见的安全活动，但在执行细则上还是缺少相关标准，无法作为落地性的指导。企业如果缺乏整体性的规划，或者方向错误，就会导致安全建设的投入产出比低下，对企业的正常业务发展造成影响。在此背景下，本项目致力于编写出范围更全面、落地指导性更强、更具适用性的安全开发能力评估框架模型，从而使企业利用该模型更加客观地认识自身软件安全开发的能力，并横向对比业界最佳实践，为软件开发组织提升软件安全开发能力提供依据。2.模型概述 2.1.什么是S-SDLC CMM S-SDLC CMM(S-SDLC Capability Maturi

5、ty Model)是一个“指导式”的软件安全开发能力成熟度评估模型，可作为软件安全能力成熟度的量化评估依据和软件安全开发体系建设的参考指导。S-SDLC CMM模型具有以下特性：以观察打分为基础的评价体系，能更为客观地衡量企业软件安全水平，并给出针对性建议。每年更新迭代国内外软件安全法规政策要求，跟进最新安全热点问题。适用于瀑布式、敏捷式等多种软件开发模式。2.2.S-SDLC CMM术语表 S-SDLC CMM：软件安全开发生命周期成熟度模型。S-SDLC域：软件安全开发生命周期成熟度模型共分为4大评估域，分别为：监管域、能力域、触点域、运维域。S-SDLC子域：4大评估域安全能力拆解为特定

6、的能力域集合。实践：需要企业执行的安全活动以及细则指导。2.3.S-SDLC CMM结构 S-SDLC CMM模型包含了监管、能力、触点和运维四个大域，又细分为17个子域。模型通过划分安全域、安全子域、安全实践三层结构，将安全能力细化至可客观量化的执行动作，由此得出安全实践的执行水平，完成对组织安全能力成熟度的客观评估。S-SDLC CMM 8 S-SDLC CMM对于四个大域的定义是：监管域描述了软件开发组织制定软件安全开发流程、合规要求、管理制度等的体系化文件；能力域描述了软件开发组织保障各种安全活动执行所具备的基础设施；触点域描述了软件开发组织在软件开发生命周期中应该如何融入安全实践；运