静态源代码安全分析工具测评基准
静态源代码安全分析工具测评基准2.0
升级背景及意义:
随着数字技术的进步,业务以及研发对于DevSecOps应用和落地的需要,已有的静态源代码安全扫描工具测评基准的内容已经无法满足当今行业内对于此类工具或产品的要求,故针对目前行业内的相关调研报告以及行业共识,对于静态源代码安全扫描工具测评基准进行了升级。
结合过去几年行业内对于静态源代码安全扫描工具的要求,本次升级的内容重新构建了静态源代码安全扫描工具的测评范围,以及每个范围的测评基准线或应当具备的功能点,比如代码扫描速率、漏洞误报率以及漏洞漏报率等等,对于产品测评基准有了更加明显和规范的参考依据。
本次升级旨在为后续的厂商产品完善指明方向,同时希望可以为甲方采购同类产品时提供采购参考。
|
发布日期: |
2023年5月30日 |
|
指导单位: |
OWASP中国、ASA应用安全联盟 |
特向参与本项目的编写及审核人员致以诚挚的谢意:
谢立斐、做个好人、秦刚峰(华润数科)、土豆(猎豹移动)、米兰(好未来集团)、cumirror(腾讯云武汉)、无所不能的魂大人(雪球基金)、崖(亚马逊云科技)
文档下载:
静态源代码安全分析工具测评基准1.0
本项目由ASC应用安全联盟发起。更多行业基准,请查看:http://www.seczone.org/seczone/IndStan/
项目简介:
在软件的开发生命周期中,对安全的关注重点越往前移,其投入回报比越高。但当前还没有任何分析和检测工具可以完全分析软件中存在的架构级别的安全、质量与正确性。这些属性应该在软件设计时考虑,但静态工具能够在一定程度上提供帮助。虽然人工测试或使用动态工具测试可以查看程序在运行时的安全状态,但是只有静态工具才能够检测恶意的后门。
虽然目前市场上已有众多的商业与开源工具可供选择,但是由于缺乏全面的评估标准,专业透彻的评估很难实现,从而导致用户往往无法完全了解其中的优劣。
本书的目的是为了创建一个第三方的、中立的源代码安全分析工具检测基准,以供安全组织与专家对静态源代码安全审核工具进行全面及公正的评估。
由ASC应用安全联盟发起本项目
项目组成员:徐瑞祝
项目组成员:徐瑞祝、谢春刚、靳超、王明、张龑
发布日期:2016年5月30日
