中国信通院郭雪解读《交互式应用程序安全测试工具能力要求》标准

 

引言

2021年7月21日，由中国信息通信研究院指导，DevSecOps敏捷安全领导者悬镜安全主办的中国首届DevSecOps敏捷安全大会（DSO 2021）在北京成功举办。大会以“安全从供应链开始”为主题，寓意安全基础决定上层建筑，在云原生环境下为软件供应链注入覆盖全流程的安全属性，从源头做风险治理。

现场逾300位权威学者、安全专家、生态伙伴、技术精英齐聚一堂，近20个议题，直击软件供应链安全复杂场景中涉及的管理、流程、技术、工具等问题，为安全产业发展提供创新源动力。

中国信通院云计算与大数据研究所云计算部副主任郭雪于现场发表了题为《交互式应用程序安全测试工具能力》的主题演讲。

演讲嘉宾简介：郭雪

中国信通院云计算与大数据研究所云计算部副主任

郭雪主任主要从事云安全、开源相关研究，目前担任中国通信标准化协会TC608（云计算标准和开源推进委员会）包括保险云、云安全、风险管理、开源治理等工作组组长。牵头编写《云计算风险管理框架》、《开源治理白皮书》等，参与可信云二十余项标准编写。

【演讲全文】

大家好，我是信通院云大所郭雪，非常荣幸能参与首届DevSecOps敏捷安全峰会。今天要与大家分享的内容是《交互式应用程序安全测试工具能力要求》标准解读（以下简称：IAST标准），即被市场认知度较高的IAST标准。

IAST标准制定背景

首先介绍相关背景。信通院为什么要制定IAST标准？其实与今天DSO大会的主题非常契合，是源于目前业内对研发安全的认知尚处于初级阶段。目前谈到的多数“安全”仍集中在应用上线之后的安全问题，针对软件研发运营全生命周期的可信安全理念还处于相对初期的阶段。

通过数据材料我们发现，存在于研发阶段的很多安全问题会产生重大影响，也据此研判出安全左移对整体安全来讲，在降低成本方面将发挥怎样的作用。调研发现，在设计、需求阶段关注安全，其成本节约会达到30倍、50倍，乃至100倍以上。所以安全左移，在设计、研发阶段关注安全，能有效节约整体成本。

以此为背景，我们发现制定一个能覆盖研发运营全流程的安全标准体系势在必行。传统的安全侧重在验证及运营阶段，我们需要做的是关注安全左移，从需求、研发阶段进行安全介入，做相应的标准化。由此，信通院在2019年针对整个标准体系，启动了第一个标准制定工