《交互式应用程序安全测试工具能力要求 》 标准解读 演讲人：郭雪 演讲时间： 2021.07.21业界研发阶段可信安全理念尚未建立 可信安全理念现状 目前的可信安全理念侧重于运营阶段 ，进行上线之后的确认 ，研发阶段的可信安全关注度相对较少 覆盖软件研发运营全生命周期的可信安全理念尚未建立 研发 运营 研发阶段可信安全关注度相对较少 ，安全保障 能力参差不齐 ，“可信安全理念尚未建立 ” 运营阶段可信安全关注度高，安全保障较为成熟， 以传统安全防御手段，如 WAF、IDS、IPS为主构建覆盖研发运营全流程的安全体系标准势在必行 要求阶段 安全需求分析阶段设计阶段 研发阶段验证阶段 发布阶段运营阶段 管理制度流程传统安全左移 下线阶段◆传统研发运营安全侧重于在验证及运营阶段 ，进行安全威胁排除 、漏洞修复 ，更多是 被动式安全防御 。 ◆进行安全左移 ，需求、研发阶段便进行安全介入 ，从源头处降低安全风险 ，实现主动 式安全防御 ，构建覆盖软件应用服务全生命周期的安全体系框架势在必行 。众厂商专家参与 ，制定《可信研发运营安全能力成熟度模型 》标准 中国信息通信研究院牵头 ，悬镜安全 、华为、腾 讯、阿里、京东云、金山云、深信服、华大基因 、 普元信息 、新华三、烽火科技 、安恒、中兴、百 度云、曙光云等国内众多头部厂商参与制定 。 可信研发运营安全能力成熟度模型参考框架，分 为管理制度以及涉及软件应用服务全生命周期的 要求阶段、安全需求分析阶段、设计阶段、开发 阶段、验证阶段、发布阶段、运营阶段和下线阶 段九大部分，每个部分提取了关键安全要素，规 范了企业研发运营安全能力的成熟度水平。 适用于软件提供者在落地实践研发运营安全时进 行参考与评价，也可为第三方机构对于企业的研 发运营安全能力审查和评估提供标准依据。《可信研发运营安全能力成熟度模型 》自动化安全工具是落地研发运营安全理念的必要途径 研发运营安全工 具系列标准静态应用程序安全测试工具能力要求 （SAST） 交互式应用程序安全测试工具能力 要求（IAST） 开源软件审计平台能力要求 （SCA） 动态应用程序安全测试工具 （DAST） 应用运行时自我保护系统 （RASP） 交互式应用程序安全测试工具凭借其独特优势成为业界焦点 交互式应用程序安全测试工具指 通过插桩技术 ，基于请求及运行时上下文综合分析 ，高效、准确地识别 安全缺陷及漏洞 ，确定安全缺陷及漏洞所在的代码位置 。 相较于发展较早的 SAST及DAST工具， IAST工具优势分析 相较于 SAST工具， IAST工具基 于请求及运行时上下文信息综合 分析，安全漏洞误报率低 IAST工具结果反馈及时，随着业 务测试可及时反馈安全测试相关 数据，提升研发效率 相较于 DAST工具，基于被动插 桩技术进行的 IAST测试对于业务 场景侵入性低 ，不产生脏数据交互式应用程序安全测试工具标准应运而生 交互式应用程序安全测试 （IAST）工具能力要求 2020年10月-2021年3月2020年9月启动标准预研及编写工作 华为、腾讯云、开源网安、奇安信、悬镜安全、安恒、 默安科技、西安邮电大学、中兴、新华三 1 2 3 5 42021年4月 2021年5月2021年7月 标准内容完善 线下调研交流，线上研讨会，持续 完善标准内容首批评估正式启动 依据标准进行的首批评估正式 启动 标准正式立项 （CCSA）TC1 WG5工作组会 议上已成功立项首批评估结果发布 2021年可信云大会发布首批评估 结果《交互式应用程序安全测试工具能力要求 》行业标准 ◆《面向云计算的研发运营安全工具能力要求 第3部分：交互式应用程序安全测试 工具》标准是国内首个针对 交互式应用程序安全测试工具 的标准，旨在帮助工具 厂商规范和提升交互式应用程序安全测试工具质量 ，同时为企业用户对此类工具 选型提供参考 ◆目前该标准已经在中国信息通信标准化协会 （CCSA）成功立项 ，由中国信通院及 悬镜安全共同牵头 。2021年上半年开展了 首批评估工作 。目的、意义及工作进展 ◆中国信息通信研究院、悬镜安全、华为技术有限公司、腾讯云计算（北京）有 限责任公司、深圳开源互联网安全技术有限公司、奇安信科技集团股份有限公 司、新思科技、杭州安恒信息技术股份有限公司、中国联合网络通信集团有限 公司、杭州默安科技有限公司、中兴通讯股份有限公司、新华三技术有限公司、 西安邮电大学 等参与单位