YDT 4924.1-2024面向云计算的研发运营安全工具体系 第1部分：总体框架.pdf

ICS35.240

CCSL67

YD

中华人民共和国通信行业标准

YD/T[××××]—[××××]

面向云计算的研发运营安全工具体系

第1部分：总体框架

Developmentandoperationsecuritytoolsystemforcloudcomputing—

Part1：Generalframework

（报批稿）

[××××]-[××]-[××]发布[××××]-[××]-[××]实施

中华人民共和国工业和信息化部发布

YD/T×××××—××××

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则起

草。

本文件是YD/T×××××—××××《面向云计算的研发运营安全工具体系》的第1部分，已发

布了以下部分：

——第1部分：总体框架

——第2部分：静态应用程序安全测试工具能力要求

——第3部分：交互式应用程序安全测试工具能力要求

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：中国信息通信研究院、华为技术有限公司、腾讯云计算（北京）有限责任公

司、深圳开源互联网安全技术有限公司、北京安普诺信息技术有限公司、中国联合网络通信集团有限

公司、中兴通讯股份有限公司、杭州安恒信息技术股份有限公司、新华三技术有限公司、西安邮电大

学、杭州默安科技有限公司、深圳华大生命科学研究院、中国移动通信集团有限公司

本文件主要起草人：吴江伟、郭雪、章可镌、沈栋、王颉、张涛、宁戈、董国伟、程进、杨国

梁、肖率武、周继玲、蔡国瑜、张鹏程、何亮忠、王肖斌

II

YD/T×××××—××××

引言

当下，软件应用服务遍及各处，极大便利了生活的方方面面，然而，安全及隐私问题始终是制约

其发展的关键因素。近年来，安全事件频发，究其原因，软件应用服务自身存在代码安全漏洞，被黑

客利用攻击是导致安全事件发生的关键因素之一，研发安全日益受到业界的重视。传统研发运营模式

中，研发与安全割裂，主要因为安全影响研发效率，通过自动化安全工具、设备，将安全融入软件应

用服务的全生命周期，适应当前的开发模式是业界共识，也是实现研发运营安全的必要途径。

如今，业界存在多种针对研发安全的测试工具，但针对测试工具整体框架梳理及工具检测分析能

力、安全能力、分析辅助能力等并没有统一标准规范，制定相应标准规范，将有助于指导厂商更好的

建设相应的安全工具，同时也可为用户选择合适的安全工具提供参考。

YD/T×××××—××××《面向云计算的研发运营安全工具体系》旨在从研发运营全生命周

期出发，梳理涉及的自动化安全工具，明确工具能力要求，拟由四部分组成。

——第1部分：总体框架。目的在于聚焦安全开发，梳理研发运营生命周期涉及的自动化安全工

具类型，为整个系列标准提供指导和框架。

——第2部分：静态应用程序安全测试工具能力要求。目的在于从用户视角出发，明确静态应用

程序安全测试工具应具备的功能、性能方面独特能力要求。

——第3部分：交互式应用程序安全测试工具能力要求。目的在于从用户视角出发，明确交互式

应用程序安全测试工具应具备的功能、性能方面独特能力要求。