【第四批】运行时应用程序自我保护(RASP)工具能力通过评估名单
研发运营安全(DevSecOps)从研发运营(DevOps)的概念延伸和演变而来,其核心理念是将安全贯穿从开发到运营的软件开发生命周期的每一个环节,在每个阶段自动实施安全措施,从而实现快速开发交付安全的软件。研发运营安全(DevSecOps)落地的关键是通过平台及工具将安全性无缝集成到持续集成和持续交付实践中。传统研发运营模式中,研发与安全割裂,主要因为安全影响研发效率,通过自动化安全平台、工具,将安全融入软件服务的全生命周期,适应当前的开发模式是业界共识,也是实现研发运营安全的必要途径。
中国信息通信研究院云计算与大数据研究所自2019年,以安全开发为切入点,开展研发运营安全相关研究工作,截至目前为止,由中国信息通信研究院牵头,联合金融、运营商、互联网、安全等行业众多国内知名企业及单位,共同编制了研发运营安全平台和工具系列标准,具体可拆分为研发运营安全平台(DevSecOps)、静态应用程序安全测试(SAST)工具、交互式应用程序安全测试(IAST)工具和运行时应用程序自我保护(RASP)工具四大部分。现发布【第四批】运行时应用程序自我保护(RASP)工具能力通过评估名单!
运行时应用程序自我保护(RASP)工具能力评估介绍
评估从用户视角出发,帮助用户提供选型指导,规定了运行时应用程序自我保护(RASP)工具的基本能力要求,涵盖检测分析能力要求、灵活性能力要求、分析辅助能力要求、扩展性能力要求、部署能力要求、安全性能力要求、服务支持能力要求等,具体架构图如下。
运行时应用程序自我保护(RASP)工具架构图
截至目前,已有3家企业通过运行时应用程序自我保护(RASP)工具能力评估,名单如下。
