文库搜索
切换导航
首页
频道
联系我们
首页
联系我们
批量下载
《交互式应用程序安全测试工具能力要求 》 标准解读 演讲人:郭雪 演讲时间: 2021.07.21业界研发阶段可信安全理念尚未建立 可信安全理念现状 目前的可信安全理念侧重于运营阶段 ,进行上线之后的确认 ,研发阶段的可信安全关注度相对较少 覆盖软件研发运营全生命周期的可信安全理念尚未建立 研发 运营 研发阶段可信安全关注度相对较少 ,安全保障 能力参差不齐 ,“可信安全理念尚未建立 ” 运营阶段可信安全关注度高,安全保障较为成熟, 以传统安全防御手段,如 WAF、IDS、IPS为主构建覆盖研发运营全流程的安全体系标准势在必行 要求阶段 安全需求分析阶段设计阶段 研发阶段验证阶段 发布阶段运营阶段 管理制度流程传统安全左移 下线阶段◆传统研发运营安全侧重于在验证及运营阶段 ,进行安全威胁排除 、漏洞修复 ,更多是 被动式安全防御 。 ◆进行安全左移 ,需求、研发阶段便进行安全介入 ,从源头处降低安全风险 ,实现主动 式安全防御 ,构建覆盖软件应用服务全生命周期的安全体系框架势在必行 。众厂商专家参与 ,制定《可信研发运营安全能力成熟度模型 》标准 中国信息通信研究院牵头 ,悬镜安全 、华为、腾 讯、阿里、京东云、金山云、深信服、华大基因 、 普元信息 、新华三、烽火科技 、安恒、中兴、百 度云、曙光云等国内众多头部厂商参与制定 。 可信研发运营安全能力成熟度模型参考框架,分 为管理制度以及涉及软件应用服务全生命周期的 要求阶段、安全需求分析阶段、设计阶段、开发 阶段、验证阶段、发布阶段、运营阶段和下线阶 段九大部分,每个部分提取了关键安全要素,规 范了企业研发运营安全能力的成熟度水平。 适用于软件提供者在落地实践研发运营安全时进 行参考与评价,也可为第三方机构对于企业的研 发运营安全能力审查和评估提供标准依据。《可信研发运营安全能力成熟度模型 》自动化安全工具是落地研发运营安全理念的必要途径 研发运营安全工 具系列标准静态应用程序安全测试工具能力要求 (SAST) 交互式应用程序安全测试工具能力 要求(IAST) 开源软件审计平台能力要求 (SCA) 动态应用程序安全测试工具 (DAST) 应用运行时自我保护系统 (RASP) 交互式应用程序安全测试工具凭借其独特优势成为业界焦点 交互式应用程序安全测试工具指 通过插桩技术 ,基于请求及运行时上下文综合分析 ,高效、准确地识别 安全缺陷及漏洞 ,确定安全缺陷及漏洞所在的代码位置 。 相较于发展较早的 SAST及DAST工具, IAST工具优势分析 相较于 SAST工具, IAST工具基 于请求及运行时上下文信息综合 分析,安全漏洞误报率低 IAST工具结果反馈及时,随着业 务测试可及时反馈安全测试相关 数据,提升研发效率 相较于 DAST工具,基于被动插 桩技术进行的 IAST测试对于业务 场景侵入性低 ,不产生脏数据交互式应用程序安全测试工具标准应运而生 交互式应用程序安全测试 (IAST)工具能力要求 2020年10月-2021年3月2020年9月启动标准预研及编写工作 华为、腾讯云、开源网安、奇安信、悬镜安全、安恒、 默安科技、西安邮电大学、中兴、新华三 1 2 3 5 42021年4月 2021年5月2021年7月 标准内容完善 线下调研交流,线上研讨会,持续 完善标准内容首批评估正式启动 依据标准进行的首批评估正式 启动 标准正式立项 (CCSA)TC1 WG5工作组会 议上已成功立项首批评估结果发布 2021年可信云大会发布首批评估 结果《交互式应用程序安全测试工具能力要求 》行业标准 ◆《面向云计算的研发运营安全工具能力要求 第3部分:交互式应用程序安全测试 工具》标准是国内首个针对 交互式应用程序安全测试工具 的标准,旨在帮助工具 厂商规范和提升交互式应用程序安全测试工具质量 ,同时为企业用户对此类工具 选型提供参考 ◆目前该标准已经在中国信息通信标准化协会 (CCSA)成功立项 ,由中国信通院及 悬镜安全共同牵头 。2021年上半年开展了 首批评估工作 。目的、意义及工作进展 ◆中国信息通信研究院、悬镜安全、华为技术有限公司、腾讯云计算(北京)有 限责任公司、深圳开源互联网安全技术有限公司、奇安信科技集团股份有限公 司、新思科技、杭州安恒信息技术股份有限公司、中国联合网络通信集团有限 公司、杭州默安科技有限公司、中兴通讯股份有限公司、新华三技术有限公司、 西安邮电大学 等参与单位
中国信通院郭雪 交互式应用程序安全测试工具能力要求 标准解读 2021
文档预览
中文文档
25 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共25页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 SC 于
2023-03-04 11:18:13
上传分享
举报
下载
原文档
(1.8 MB)
分享
友情链接
T-CTA 002—2019 船舶水尺计重工作规范.pdf
DB61-T 1658-2023 固定污染源废气挥发性有机物监测技术规范 陕西省.pdf
GB-T 34926-2017 额定电压0.6-1kV及以下云母带矿物绝缘波纹铜护套电缆及终端.pdf
GB-T 38664.2-2020 信息技术 大数据 政务数据开放共享 第2部分:基本要求.pdf
GB-T 41165-2021 海洋预报结果准确性检验评估方法.pdf
DB32- 4148-2021 燃煤电厂大气污染物排放标准 江苏省.pdf
GB-T 34766-2017 矿物源总腐殖酸含量的测定.pdf
GB/T 38877-2020 电工钢带(片)绝缘涂层.pdf
GB-T 18837-2015 多联式空调 热泵 机组.pdf
T-CEC 5067—2022 火力发电工程安全检查规程.pdf
信通院 大模型治理蓝皮报告 2023年 ——从规则走向实践.pdf
GB-T 31497-2015 信息技术 安全技术 信息安全管理 测量.pdf
GB-T 29828-2013 信息安全技术 可信计算规范 可信连接架构.pdf
T-CPARK 14—2020 预制构件养护窑.pdf
GB-T 7921-2008 均匀色空间和色差公式.pdf
GB-T 38631-2020 信息技术 安全技术 GB-T 22080具体行业应用 要求.pdf
T-CSAE 79—2018 能量回馈式汽车液压防抱死制动系统 性能要求及试验方法.pdf
GB-T 15310.2-2009 国际贸易出口单证格式 第2部分:装箱单.pdf
GB-T 37964-2019 信息安全技术 个人信息去标识化指南.pdf
YD-T 3957-2021 基于LTE的车联网无线通信技术 安全证书管理系统技术要求.pdf
1
/
3
25
评价文档
赞助2元 点击下载(1.8 MB)
回到顶部
×
微信扫码支付
2
元 自动下载
点击进入官方售后微信群
支付 完成后 如未跳转 点击这里下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。