《交互式应用程序安全测试工具能力要求 》
标准解读
演讲人:郭雪 演讲时间: 2021.07.21业界研发阶段可信安全理念尚未建立
可信安全理念现状
目前的可信安全理念侧重于运营阶段 ,进行上线之后的确认 ,研发阶段的可信安全关注度相对较少
覆盖软件研发运营全生命周期的可信安全理念尚未建立
研发 运营
研发阶段可信安全关注度相对较少 ,安全保障
能力参差不齐 ,“可信安全理念尚未建立 ”
运营阶段可信安全关注度高,安全保障较为成熟,
以传统安全防御手段,如 WAF、IDS、IPS为主构建覆盖研发运营全流程的安全体系标准势在必行
要求阶段
安全需求分析阶段设计阶段
研发阶段验证阶段
发布阶段运营阶段
管理制度流程传统安全左移
下线阶段◆传统研发运营安全侧重于在验证及运营阶段 ,进行安全威胁排除 、漏洞修复 ,更多是
被动式安全防御 。
◆进行安全左移 ,需求、研发阶段便进行安全介入 ,从源头处降低安全风险 ,实现主动
式安全防御 ,构建覆盖软件应用服务全生命周期的安全体系框架势在必行 。众厂商专家参与 ,制定《可信研发运营安全能力成熟度模型 》标准
中国信息通信研究院牵头 ,悬镜安全 、华为、腾
讯、阿里、京东云、金山云、深信服、华大基因 、
普元信息 、新华三、烽火科技 、安恒、中兴、百
度云、曙光云等国内众多头部厂商参与制定 。
可信研发运营安全能力成熟度模型参考框架,分
为管理制度以及涉及软件应用服务全生命周期的
要求阶段、安全需求分析阶段、设计阶段、开发
阶段、验证阶段、发布阶段、运营阶段和下线阶
段九大部分,每个部分提取了关键安全要素,规
范了企业研发运营安全能力的成熟度水平。
适用于软件提供者在落地实践研发运营安全时进
行参考与评价,也可为第三方机构对于企业的研
发运营安全能力审查和评估提供标准依据。《可信研发运营安全能力成熟度模型 》自动化安全工具是落地研发运营安全理念的必要途径
研发运营安全工
具系列标准静态应用程序安全测试工具能力要求 (SAST)
交互式应用程序安全测试工具能力
要求(IAST)
开源软件审计平台能力要求 (SCA)
动态应用程序安全测试工具 (DAST)
应用运行时自我保护系统 (RASP)
交互式应用程序安全测试工具凭借其独特优势成为业界焦点
交互式应用程序安全测试工具指 通过插桩技术 ,基于请求及运行时上下文综合分析 ,高效、准确地识别
安全缺陷及漏洞 ,确定安全缺陷及漏洞所在的代码位置 。
相较于发展较早的 SAST及DAST工具, IAST工具优势分析
相较于 SAST工具, IAST工具基
于请求及运行时上下文信息综合
分析,安全漏洞误报率低
IAST工具结果反馈及时,随着业
务测试可及时反馈安全测试相关
数据,提升研发效率
相较于 DAST工具,基于被动插
桩技术进行的 IAST测试对于业务
场景侵入性低 ,不产生脏数据交互式应用程序安全测试工具标准应运而生
交互式应用程序安全测试 (IAST)工具能力要求
2020年10月-2021年3月2020年9月启动标准预研及编写工作
华为、腾讯云、开源网安、奇安信、悬镜安全、安恒、
默安科技、西安邮电大学、中兴、新华三
1 2 3 5 42021年4月
2021年5月2021年7月
标准内容完善
线下调研交流,线上研讨会,持续
完善标准内容首批评估正式启动
依据标准进行的首批评估正式
启动
标准正式立项
(CCSA)TC1 WG5工作组会
议上已成功立项首批评估结果发布
2021年可信云大会发布首批评估
结果《交互式应用程序安全测试工具能力要求 》行业标准
◆《面向云计算的研发运营安全工具能力要求 第3部分:交互式应用程序安全测试
工具》标准是国内首个针对 交互式应用程序安全测试工具 的标准,旨在帮助工具
厂商规范和提升交互式应用程序安全测试工具质量 ,同时为企业用户对此类工具
选型提供参考
◆目前该标准已经在中国信息通信标准化协会 (CCSA)成功立项 ,由中国信通院及
悬镜安全共同牵头 。2021年上半年开展了 首批评估工作 。目的、意义及工作进展
◆中国信息通信研究院、悬镜安全、华为技术有限公司、腾讯云计算(北京)有
限责任公司、深圳开源互联网安全技术有限公司、奇安信科技集团股份有限公
司、新思科技、杭州安恒信息技术股份有限公司、中国联合网络通信集团有限
公司、杭州默安科技有限公司、中兴通讯股份有限公司、新华三技术有限公司、
西安邮电大学 等参与单位
中国信通院郭雪 交互式应用程序安全测试工具能力要求 标准解读 2021
文档预览
中文文档
25 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共25页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 SC 于 2023-03-04 11:18:13上传分享