标准号:T/ZFIDA 0004-2024
标准名称:金融业应用安全测试产品检测能力评估 准则 第 1 部分:静态应用安全测试
团体名称:中关村金融科技产业发展联盟
发布日期:2024年12月18日
实施日期:2024年12月18日
静态应用安全测试SAST可以在软件开发生命周期早期发现源代码中的安全漏洞,是企业保障应用安全的重要工具,在金融行业中有着广泛的应用。相比于其他行业,金融行业一方面对网络安全要求高;另一方面系统架构也较为复杂,因此对SAST的能力有着更高的要求和期待。SAST检测能力是SAST产品的核心能力,可以分成引擎能力和规则能力两大类。由于规则能力主要体现SAST对各类框架和漏洞规则的定制化能力,较难枚举,支持的成本也较低,一般可通过自定义配置实现。SAST引擎能力是SAST面向程序基本语言特性的识别和数据流跟踪的能力,是一款SAST产品的基础能力。本文件规定了静态应用安全测试产品检测能力评估框架、检测完整度评估和检测准确度评估等。
起草人:李振、李博文、冯晓文、王雅仪、余瞰、边立忠、白晓媛、张利歌、李婷、华巍、 时绍森、周翔宇、程岩、彭晋、尉郭晨、祖宇飞、李弈龙、陆碧波、曹琳虹、旷亚和、姜城、张然、张 心、高佩明、魏辰、沈栋、董镇山、姜冰、束骏亮、吴兴川、杨文博、刘勇、曹亭亭、方蕊、赵浚雅、 齐柏尧、杨小强、史明超、落红卫、谷晨、李晨曦、李会丽、丁延彪、范强、陈振、谢源、刘关萍、王 俊、王辉、左春、王建林