2. 《交互式应用程序安全测试工具能力要求》标准解读 - 郭雪（25页）.pdf

《2. 《交互式应用程序安全测试工具能力要求》标准解读 - 郭雪（25页）.pdf》由会员分享，可在线阅读，更多相关《2. 《交互式应用程序安全测试工具能力要求》标准解读 - 郭雪（25页）.pdf（25页珍藏版）》请在三个皮匠报告上搜索。

1、交互式应用程序安全测试工具能力要求交互式应用程序安全测试工具能力要求标准解读标准解读演讲人：郭雪演讲时间：2021.07.21业界研发阶段可信安全理念尚未建立可信安全理念现状可信安全理念现状目前的可信安全理念侧重于运营阶段，进行上线之后的确认，研发阶段的可信安全关注度相对较少覆盖软件研发运营全生命周期的可信安全理念尚未建立研发研发运营运营研发阶段可信安全关注度相对较少研发阶段可信安全关注度相对较少，安全保障安全保障能力参差不齐能力参差不齐，“可信安全理念尚未建立可信安全理念尚未建立”运营阶段可信安全关注度高，安全保障较为成熟，运营阶段可信安全关注度高，安全保障较为成熟，以传统安全防御手段，如W

2、AF、IDS、IPS为主构建覆盖研发运营全流程的安全体系标准势在必行要求阶段要求阶段安全需求分析阶段安全需求分析阶段设计阶段设计阶段研发阶段研发阶段验证阶段验证阶段发布阶段发布阶段运营阶段运营阶段管理制度流程管理制度流程传统安全左移下线阶段下线阶段 传统研发运营安全侧重于在验证及运营阶段传统研发运营安全侧重于在验证及运营阶段，进行安全威胁排除进行安全威胁排除、漏洞修复漏洞修复，更多是更多是被动式安全防御被动式安全防御。进行安全左移进行安全左移，需求需求、研发阶段便进行安全介入研发阶段便进行安全介入，从源头处降低安全风险从源头处降低安全风险，实现实现主动主动式安全防御式安全防御，构建覆盖软件应用

3、服务全生命周期的安全体系框架势在必行构建覆盖软件应用服务全生命周期的安全体系框架势在必行。众厂商专家参与，制定可信研发运营安全能力成熟度模型标准中国信息通信研究院牵头中国信息通信研究院牵头，悬镜安全悬镜安全、华为华为、腾腾讯讯、阿里阿里、京东云京东云、金山云金山云、深信服深信服、华大基因华大基因、普元信息普元信息、新华三新华三、烽火科技烽火科技、安恒安恒、中兴中兴、百百度云度云、曙光云等国内众多头部厂商参与制定曙光云等国内众多头部厂商参与制定。可信研发运营安全能力成熟度模型参考框架，分可信研发运营安全能力成熟度模型参考框架，分为管理制度以及涉及软件应用服务全生命周期的为管理制度以及涉及软件应用

4、服务全生命周期的要求阶段、安全需求分析阶段、设计阶段、开发要求阶段、安全需求分析阶段、设计阶段、开发阶段、验证阶段、发布阶段、运营阶段和下线阶阶段、验证阶段、发布阶段、运营阶段和下线阶段九大部分，每个部分提取了关键安全要素，规段九大部分，每个部分提取了关键安全要素，规范了企业研发运营安全能力的成熟度水平。范了企业研发运营安全能力的成熟度水平。适用于软件提供者在落地实践研发运营安全时进适用于软件提供者在落地实践研发运营安全时进行参考与评价，也可为第三方机构对于企业的研行参考与评价，也可为第三方机构对于企业的研发运营安全能力审查和评估提供标准依据。发运营安全能力审查和评估提供标准依据。可信研发运营

5、安全能力成熟度模型可信研发运营安全能力成熟度模型自动化安全工具是落地研发运营安全理念的必要途径研发运营安全工具系列标准静态应用程序安全测试工具能力要求静态应用程序安全测试工具能力要求（SAST）交互式应用程序安全测试工具能力交互式应用程序安全测试工具能力要求要求（IAST）开源软件审计平台能力要求开源软件审计平台能力要求（SCA）动态应用程序安全测试工具动态应用程序安全测试工具（DAST）应用运行时自我保护系统应用运行时自我保护系统（RASP）交互式应用程序安全测试工具凭借其独特优势成为业界焦点交互式应用程序安全测试工具指通过插桩技术，基于请求及运行时上下文综合分析，高效、准确地识别安全缺陷及

6、漏洞，确定安全缺陷及漏洞所在的代码位置。相较于发展较早的SAST及DAST工具，IAST工具优势分析相较于SAST工具，IAST工具基于请求及运行时上下文信息综合分析，安全漏洞误报率低IAST工具结果反馈及时，随着业务测试可及时反馈安全测试相关数据，提升研发效率相较于DAST工具，基于被动插桩技术进行的IAST测试对于业务场景侵入性低，不产生脏数据交互式应用程序安全测试工具标准应运而生交互式应用程序安全测试（IAST）工具能力要求2020年10月-2021年3月2020年9月启动标准预研及编写工作华为、腾讯云、开源网安、奇安信、悬镜安全、安恒、默安科技、西安邮电大学、中兴、新华三1235420