注册

正式发布!中国信通院联合腾讯安全等起草单位,共同发布研发运营安全工具系列标准

2021-07-30 14:05:38 大京网 

7月27日,由中国信通院、中国通信标准化协会联合主办的2021年可信云大会在京召开。作为云计算领域最具权威性的行业会议,本年度的可信云大会发布了数十项云计算领域的评估结果以及一系列行业标准。

其中,围绕研发运营安全主题,中国信通院联合十余家云计算、安全厂商制定了《面向云计算的研发运营安全工具能力要求 第2部分:静态应用程序安全测试工具》、《面向云计算的研发运营安全工具能力要求 第3部分:交互式应用程序安全测试工具》系列行业标准,在本次大会上正式发布。腾讯安全是标准起草单位之一。

聚焦软件安全,研发运营安全工具系列标准发布

伴随着5G、云计算、人工智能、大数据等技术日新月异,数字化转型进程逐步推进,软件应用服务已成为主流形态然而软件安全也愈发成为业界关注的焦点。近年来,安全事件频发,小到企业安危、个人隐私泄露,大到国家安全,究其根本,多是软件应用服务自身存在安全漏洞。传统研发运营模式中,研发与安全割裂造成安全影响研发效率,是导致安全事件发生的主要原因。

在此背景下,由中国信息通信研究院牵头,联合腾讯安全等十余家单位共同制定的《面向云计算的研发运营安全工具能力要求 第2部分:静态应用程序安全测试工具》、《面向云计算的研发运营安全工具能力要求 第3部分:交互式应用程序安全测试工具》系列行业标准于本次2021可信云大会中发布,深度聚焦软件安全领域,通过研发运营安全工具系列标准的制定,将自动化安全工具、设备融入软件应用服务的全生命周期,适应当前的开发模式,规范研发运营安全。

目前可信研发运营安全系列评估包含三大部分,可信研发运营安全能力成熟度评估、静态应用程序安全测试工具能力评估(SAST) 及 交互式应用程序安全测试工具能力评估(IAST)。可信研发运营安全能力成熟度评估主要关注研发安全,从九个阶段对企业的研发运营安全能力从全生命周期维度进行管理制度及软件应用服务全生命周期要求阶段的评估,在本次大会上进行了评估成果的展示。

对于用户层面的补齐,此次发布最新的静态应用程序安全测试工具能力评估及交互式应用程序安全测试工具能力评估,则从用户视角出发,针对安全工具能力及性能进行评估,帮助用户进行选型参考,具体能力涵盖扫描检测分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求九大部分,全面完善了研发运营安全体系的建设。

结合多年研发流程标准化经验,助力行业研发运营安全体系标准建设

腾讯云多年来致力于自身研发体系的标准化和DevSecOps的落地,目前已形成一套完整的研发运营安全解决方案。在云产品安全维度,基于腾讯云的研发运维模式,腾讯安全云鼎实验室建立了DevSecOps模型并落地实践,基于一站式DevOps平台与流程,在项目协同、编码、代码管理与分析、自动化测试、持续集成、配置管理、环境管理、制品管理、持续部署、持续运维几个部分嵌入安全活动。

此外,腾讯云通过安全工具链建立安全门禁,实现安全度量,从不同阶段和维度收敛安全风险,并实现部分场景的默认安全,以此来实现腾讯云产品的出厂安全,保证云服务的安全可靠性。基于自身多年云服务研发体系的建设经验,腾讯安全云鼎实验室参与了此次运营安全工具系列标准的起草,向行业输送了大量实践经验,助力行业安全水平的提升。

本次大会上,腾讯云拿下了5项大奖和10项可信云认证。截至目前,腾讯云已经在云主机、云存储、云数据库等各细分领域评测中,获得52项可信云认证,数量位居中国云厂商第一。腾讯云还将继续推动各项标准的广泛传播和有效普及,为完善软件应用领域的安全标准体系建设、为促进软件开发应用的健康有序发展贡献力量。

(责任编辑:刘畅 )
看全文
写评论已有条评论跟帖用户自律公约
提 交还可输入500

最新评论

查看剩下100条评论

推荐阅读

和讯热销金融证券产品

【免责声明】本文仅代表作者本人观点,与和讯网无关。和讯网站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。