安全治理目标能力集合 v0.1
安全治理目标能力集合(TSCS),用于量化企业整体安全治理能力覆盖差距的核心基准。它为计算 安全治理量化管理指标体系 中的 SAI 指标提供了一个通用参考,覆盖应用安全、办公网安全、网络安全等多个领域,确保使用该量化管理指标体系的跨团队、跨企业在对安全能力覆盖情况评估时具有一致性。
说明
- 能力集合的持续更新:随着新技术的出现、新型攻击手段的演变以及安全理念的深化,未来可能会增加新的关键能力,调整现有能力的定义,或者移除已过时或被更有效能力取代的条目
| 安全能力名称 | 简写 | 英文 | 描述 |
|---|---|---|---|
| 静态应用安全测试 | SAST | Static Application Security Testing | 作为白盒测试,在编码阶段早期发现问题。 通过分析源代码或字节码,识别潜在的安全编码缺陷、漏洞模式(如 SQL 注入、XSS 模式)和不符合安全规范的代码。 |
| 软件成分分析 | SCA | Software Composition Analysis | 管理软件供应链风险。 识别应用中使用的所有第三方和开源组件,检测这些组件中已知的安全漏洞 (CVEs),并可用于管理许可证合规性。 |
| 敏感信息检测 | SD | Secrets Detection | 防止敏感凭证意外泄露。 通过工具扫描代码库、配置文件及构建产物,查找硬编码或意外提交的密码、API 密钥、证书私钥等敏感信息。 |
| 基础设施即代码扫描 | IaC | Infrastructure as Code Scan | 保障云环境和自动化部署的安全。 分析用于定义基础设施的配置文件(Terraform, CloudFormation 等),发现可能导致安全风险的配置错误(如暴露端口、弱权限设置)。 |
| 容器镜像安全扫描 | CISS | Container Image Security Scan | 确保容器化应用的基础安全。 扫描容器镜像,检测操作系统包、系统库和嵌入的应用依赖中已知的安全漏洞 (CVEs),以及不安全的配置。 |
| 动态应用安全测试 | DAST | Dynamic Application Security Testing | 模拟外部攻击,发现运行时漏洞。 作为黑盒测试,在应用运行时从外部发送探测请求,尝试利用常见的 Web 漏洞(如 XSS, SQLi, 目录遍历),验证实际暴露的风险。 |
| 交互式应用安全测试 | IAST | Interactive Application Security Testing | 结合内外视角,提高检测精度。 在应用运行时(通常集成在 QA 测试流程中),通过代理或插桩技术监控应用内部数据流和执行路径,结合外部请求触发,更精确地识别漏洞并提供上下文信息。 |
| API 安全测试 | API Sec | API Security Testing | 专注于保护应用的核心接口。 针对应用的 API 端点进行专门的安全测试,覆盖认证授权、注入、数据过度暴露、资源滥用、速率限制等 OWASP API Security Top 10 风险。 |
| 外部攻击面管理 | EASM | External Attack Surface Management | 持续发现和监控对外的暴露风险。 从攻击者视角出发,自动化、持续地发现组织所有面向互联网的数字资产(包括未知的或"影子 IT"),识别开放端口、暴露服务、已知漏洞、证书问题等潜在攻击入口。 |
| Web 应用防火墙 | WAF | Web Application Firewall | 提供边界防护,抵御常见 Web 攻击。 在 Web 应用前端部署,检测并阻止如 SQL 注入、XSS、恶意爬虫等常见攻击流量,也可提供虚拟补丁和基本的访问控制。 |
| 运行时应用自我保护 | RASP | Runtime Application Self-Protection | 在应用内部实现精准、实时的防护。 集成到应用或其运行时环境,利用对应用上下文的理解,实时监控并阻止恶意行为或漏洞利用尝试,理论上能提供更精准的防护和更低的误报。 |
| 漏洞情报 | VI | Vulnerability Intelligence | 提升风险识别和响应的精准性与时效性。 利用高质量的漏洞情报来增强对软件资产的风险评估。 |