背景

研发运营安全（DevSecOps）从研发运营（DevOps）的概念延伸和演变而来，其核心理念是将安全贯穿从开发到运营的软件开发生命周期的每一个环节，在每个阶段自动实施安全措施，从而实现快速开发交付安全的软件。研发运营安全（DevSecOps）落地的关键是通过平台及工具将安全性无缝集成到持续集成和持续交付实践中。传统研发运营模式中，研发与安全割裂，主要因为安全影响研发效率，通过自动化安全平台、工具，将安全融入软件服务的全生命周期，适应当前的开发模式是业界共识，也是实现研发运营安全的必要途径。

中国信息通信研究院云计算与大数据研究所自2019年，以安全开发为切入点，开展研发运营安全相关研究工作，截至目前为止，由中国信息通信研究院牵头，联合金融、运营商、互联网、安全等行业众多国内知名企业及单位，共同编制了研发运营安全平台和工具系列标准，具体可拆分为研发运营安全平台（DevSecOps）、静态应用程序安全测试（SAST）工具、交互式应用程序安全测试（IAST）工具和运行时应用程序自我保护（RASP）工具四大部分。现正式启动【第四批】静态应用程序安全测试（SAST）工具能力评估报名工作！

静态应用程序安全测试（SAST）工具能力评估介绍

评估从用户视角出发，帮助用户提供选型指导，规定了静态应用程序安全测试（SAST）工具的基本能力要求，涵盖扫描分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求等，具体架构图如下。

静态应用程序安全测试（SAST）工具架构图

截至目前，已有3家企业通过静态应用程序安全测试（SAST）工具能力评估，名单如下。

企业参评价值

获得第三方资质证书，提升市场竞争力

通过中国信通院组织的工具能力评估，获得第三方资质证书，证明企业自身工具已满足标准要求。企业可向客户呈现评估结果，证明工具功能完备性、产品自身安全、性能满足基本业务要求，助力企业进一步提升工具的市场竞争力。

工具能力对标行业标准，助力用户进行选型参考

标准制定过程中广泛邀请大量业界优秀安全工具厂商专家参与，抽取包括功能项、性能项及安全关键要素，建立工具评价模型。企业可通过评估测试，验证自身工具安全可信，覆盖标准通用能力要求，为用户选择合适的安全工具提供选型指导。