聚焦软件安全，研发运营安全工具系列标准即将发布

伴随着5G、云计算、人工智能、大数据等技术日新月异，数字化转型进程逐步推进，向各行各业渗透。在云计算已然成为基础设施的当下，软件应用服务已成为主流形态，然而，安全问题始终是制约其发展的关键因素，国内服务器，软件安全也愈发成为业界关注的焦点。近年来，安全事件频发，香港服务器，小到企业安危、个人隐私泄露，大到国家安全，究其根本，多是软件应用服务自身存在安全漏洞，导致安全事件发生。
传统研发运营模式中，研发与安全割裂，主要因为安全影响研发效率，通过自动化安全工具、设备，将安全融入软件应用服务的全生命周期，适应当前的开发模式是业界共识，也是实现研发运营安全的必要途径。
以此为背景，2020年，中国信息通信研究院（简称信通院）牵头，联合华为技术有限公司、腾讯云计算（北京）有限责任公司、北京安普诺信息技术有限公司、深圳开源互联网安全技术有限公司、奇安信科技集团股份有限公司、中国联合网络通信集团有限公司、中兴通讯股份有限公司、杭州安恒信息技术股份有限公司、新华三技术有限公司、西安邮电大学、杭州默安科技有限公司等十余家单位，共同制定了《面向云计算的研发运营安全工具能力要求 第2部分：静态应用程序安全测试工具》、《面向云计算的研发运营安全工具能力要求 第3部分：交互式应用程序安全测试工具》系列行业标准。


标准规定了静态应用程序安全测试工具（SAST）及交互式应用程序安全测试工具（IAST）的基本能力要求，涵盖检测扫描分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求九大部分，具体包括支持的语言类型、框架类型、漏报率要求、误报率要求、缺陷定位、扫描结果分析对比、告警能力等。
相关评估同步推出
目前可信研发运营安全系列评估包含三大部分，可信研发运营安全能力成熟度评估、静态应用程序安全测试工具能力评估（SAST） 及 交互式应用程序安全测试工具能力评估（IAST）。
可信研发运营安全能力成熟度评估强调安全左移，关注研发安全，分为管理制度以及涉及软件应用服务全生命周期的要求阶段、安全需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段和下线阶段九大部分，每个部分提取了关键安全要素，对于企业的研发运营安全能力从全生命周期维度进行评估，自低向高依次分为基础级、增强级和先进级。


静态应用程序安全测试工具能力评估及交互式应用程序安全测试工具能力评估从用户视角出发，针对安全工具能力及性能进行评估，帮助用户进行选型参考，具体能力涵盖扫描检测分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求九大部分。
评估及标准编写参与