伴隨著5G、云計算、人工智能、大數(shù)據(jù)等技術日新月異，數(shù)字化轉型進程逐步推進，向各行各業(yè)滲透。在云計算已然成為基礎設施的當下，軟件應用服務已成為主流形態(tài)，然而，安全問題始終是制約其發(fā)展的關鍵因素，國內服務器，軟件安全也愈發(fā)成為業(yè)界關注的焦點。近年來，安全事件頻發(fā)，香港服務器，小到企業(yè)安危、個人隱私泄露，大到國家安全，究其根本，多是軟件應用服務自身存在安全漏洞，導致安全事件發(fā)生。

傳統(tǒng)研發(fā)運營模式中，研發(fā)與安全割裂，主要因為安全影響研發(fā)效率，通過自動化安全工具、設備，將安全融入軟件應用服務的全生命周期，適應當前的開發(fā)模式是業(yè)界共識，也是實現(xiàn)研發(fā)運營安全的必要途徑。

以此為背景，2020年，中國信息通信研究院（簡稱信通院）牽頭，聯(lián)合華為技術有限公司、騰訊云計算（北京）有限責任公司、北京安普諾信息技術有限公司、深圳開源互聯(lián)網(wǎng)安全技術有限公司、奇安信科技集團股份有限公司、中國聯(lián)合網(wǎng)絡通信集團有限公司、中興通訊股份有限公司、杭州安恒信息技術股份有限公司、新華三技術有限公司、西安郵電大學、杭州默安科技有限公司等十余家單位，共同制定了《面向云計算的研發(fā)運營安全工具能力要求 第2部分：靜態(tài)應用程序安全測試工具》、《面向云計算的研發(fā)運營安全工具能力要求 第3部分：交互式應用程序安全測試工具》系列行業(yè)標準。

標準規(guī)定了靜態(tài)應用程序安全測試工具（SAST）及交互式應用程序安全測試工具（IAST）的基本能力要求，涵蓋檢測掃描分析能力要求、靈活性能力要求、分析輔助能力要求、開發(fā)流程嵌入能力要求、擴展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服務支持能力要求九大部分，具體包括支持的語言類型、框架類型、漏報率要求、誤報率要求、缺陷定位、掃描結果分析對比、告警能力等。

相關評估同步推出

目前可信研發(fā)運營安全系列評估包含三大部分，可信研發(fā)運營安全能力成熟度評估、靜態(tài)應用程序安全測試工具能力評估（SAST） 及 交互式應用程序安全測試工具能力評估（IAST）。

可信研發(fā)運營安全能力成熟度評估強調安全左移，關注研發(fā)安全，分為管理制度以及涉及軟件應用服務全生命周期的要求階段、安全需求分析階段、設計階段、研發(fā)階段、驗證階段、發(fā)布階段、運營階段和下線階段九大部分，每個部分提取了關鍵安全要素，對于企業(yè)的研發(fā)運營安全能力從全生命周期維度進行評估，自低向高依次分為基礎級、增強級和先進級。

靜態(tài)應用程序安全測試工具能力評估及交互式應用程序安全測試工具能力評估從用戶視角出發(fā)，針對安全工具能力及性能進行評估，幫助用戶進行選型參考，具體能力涵蓋掃描檢測分析能力要求、靈活性能力要求、分析輔助能力要求、開發(fā)流程嵌入能力要求、擴展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服務支持能力要求九大部分。

評估及標準編寫參與

當前名稱：聚焦軟件安全，研發(fā)運營安全工具系列標準即將發(fā)布
URL鏈接：http://jinyejixie.com/news26/269526.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站策劃、Google、軟件開發(fā)、小程序開發(fā)、企業(yè)建站、域名注冊

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)