背景

研發運營安全（DevSecOps）從研發運營（DevOps）的概念延伸和演變而來，其核心理念是將安全貫穿從開發到運營的軟件開發生命周期的每一個環節，在每個階段自動實施安全措施，從而實現快速開發交付安全的軟件。研發運營安全（DevSecOps）落地的關鍵是通過平臺及工具將安全性無縫集成到持續集成和持續交付實踐中。傳統研發運營模式中，研發與安全割裂，主要因為安全影響研發效率，通過自動化安全平臺、工具，將安全融入軟件服務的全生命周期，適應當前的開發模式是業界共識，也是實現研發運營安全的必要途徑。

中國信息通信研究院云計算與大數據研究所自2019年，以安全開發為切入點，開展研發運營安全相關研究工作，截至目前為止，由中國信息通信研究院牽頭，聯合金融、運營商、互聯網、安全等行業眾多國內知名企業及單位，共同編制了研發運營安全平臺和工具系列標準，具體可拆分為研發運營安全平臺（DevSecOps）、靜態應用程序安全測試（SAST）工具、交互式應用程序安全測試（IAST）工具和運行時應用程序自我保護（RASP）工具四大部分。現正式啟動【第四批】靜態應用程序安全測試（SAST）工具能力評估報名工作！

靜態應用程序安全測試（SAST）工具能力評估介紹

評估從用戶視角出發，幫助用戶提供選型指導，規定了靜態應用程序安全測試（SAST）工具的基本能力要求，涵蓋掃描分析能力要求、靈活性能力要求、分析輔助能力要求、開發流程嵌入能力要求、擴展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服務支持能力要求等，具體架構圖如下。

靜態應用程序安全測試（SAST）工具架構圖

截至目前，已有3家企業通過靜態應用程序安全測試（SAST）工具能力評估，名單如下。

企業參評價值

獲得第三方資質證書，提升市場競爭力

通過中國信通院組織的工具能力評估，獲得第三方資質證書，證明企業自身工具已滿足標準要求。企業可向客戶呈現評估結果，證明工具功能完備性、產品自身安全、性能滿足基本業務要求，助力企業進一步提升工具的市場競爭力。

工具能力對標行業標準，助力用戶進行選型參考

標準制定過程中廣泛邀請大量業界優秀安全工具廠商專家參與，抽取包括功能項、性能項及安全關鍵要素，建立工具評價模型。企業可通過評估測試，驗證自身工具安全可信，覆蓋標準通用能力要求，為用戶選擇合適的安全工具提供選型指導。