YD_T 4924.2-2024 面向云计算的研发运营安全工具体系 第2部分：静态应用程序安全测试工具能力要求.pdfVIP

ICS35.240

CCSL67YD

中华人民共和国通信行业标准

YD/T[×××××]—[××××]

面向云计算的研发运营安全工具体系

第2部分：静态应用程序安全测试工具能力要求

Developmentandoperationsecuritytoolsystemforcloudcomputing—

Part2：Capabilityrequirementsforstaticapplicationsecuritytestingtools

（报批稿）

[××××]-[××]-[××]发布[××××]-[××]-[××]实施

中华人民共和国工业和信息化部发布

YD/T×××××—××××

目次

前言III

引言IV

1范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5扫描分析能力要求2

5.1支持的编程语言2

5.2支持的框架类型2

5.3支持的扫描方式2

5.4支持的安全漏洞风险类型2

5.5扫描分析速度要求3

5.6漏报率要求3

5.7误报率要求3

6工具灵活性能力要求3

6.1扫描分析配置能力要求3

6.2使用模式4

6.3支持的代码获取方式4

6.4使用辅助能力要求4

6.5告警能力要求4

7分析辅助能力要求4

7.1支持缺陷快速定位4

7.2支持任务的集中管理与展示4

7.3支持缺陷数据的多维度统计及展示5

7.4支持结果的对比分析5

7.5提供缺陷的修复指导5

7.6报表展示要求5

7.7权限控制及审计能力要求5

8开发流程嵌入能力要求6

8.1支持嵌入代码管理系统6

8.2支持嵌入IDE开发工具6

8.3支持嵌入CI/CD流程6

8.4支持嵌入缺陷跟踪系统6

9工具扩展性能力要求6

9.1核心分析引擎功能接口化6

9.2与分析平台的集成6

I

YD/T×××××—××××

9.3漏洞规则自定义7

9.4支持二次开发7

10工具兼容性能力要求7

10.1操作系统兼容性7

10.2浏览器兼容性7

11工具部署能力要求7

11.1部署模式7

11.2工具架构7

11.3安装支持7

12工具安全性能力要求8

12.1传输安全8

12.2自身安全8

12.3访问控制8