GAT 2384-2026 信息安全技术 软件源代码安全缺陷检测产品技术要求.pptxVIP

GA/T2384-2026信息安全技术软件源代码安全缺陷检测产品技术要求

目录

02

产品功能要求

01

标准概述

03

技术要求

04

安全缺陷分类

05

测试与评估方法

06

合规与维护要求

标准概述

01

标准背景与制定目的

应对安全威胁升级

随着软件供应链攻击常态化和AI代码重塑质量边界，传统检测手段难以应对隐蔽性漏洞，需通过标准化技术规范提升检测产品的精准度和适应性。

填补行业空白

针对源代码安全缺陷检测产品缺乏统一技术要求的问题，该标准为产品设计、开发和检测提供权威依据，推动行业技术能力提升。

强化合规要求

响应国家市场监管总局对“网络与软件”领域的重点监管需求，助力企业满足《网络安全法》《数据安全法》等法规的源代码安全合规义务。

适用范围与对象界定

产品类型覆盖

适用于静态应用程序安全测试（SAST）工具、混合分析工具等源代码安全缺陷检测产品，涵盖商业化及开源解决方案。

开发阶段适配

规范产品在软件开发生命周期（SDLC）各阶段的应用，包括编码阶段的实时检测、测试阶段的深度扫描及运维阶段的代码复审。

技术能力要求

明确产品需支持Java、C/C++、Python等主流语言解析，并具备漏洞规则库更新、污点数据追踪等核心功能。

责任主体界定

标准面向检测产品开发商、第三方测评机构及采购方，为其提供技术评价和管理依据。

指因编码不规范或逻辑错误导致的可被利用的漏洞，包