伴隨著5G、云計算、人工智能、大數據等技術日新月異，數字化轉型進程逐步推進，向各行各業滲透。在云計算已然成為基礎設施的當下，軟件應用服務已成為主流形態，然而，安全問題始終是制約其發展的關鍵因素，國內服務器，軟件安全也愈發成為業界關注的焦點。近年來，安全事件頻發，歐洲服務器，小到企業安危、個人隱私泄露，大到國家安全，究其根本，多是軟件應用服務自身存在安全漏洞，導致安全事件發生。

傳統研發運營模式中，研發與安全割裂，主要因為安全影響研發效率，通過自動化安全工具、設備，將安全融入軟件應用服務的全生命周期，適應當前的開發模式是業界共識，也是實現研發運營安全的必要途徑。

以此為背景，2020年，中國信息通信研究院（簡稱信通院）牽頭，聯合華為技術有限公司、騰訊云計算（北京）有限責任公司、北京安普諾信息技術有限公司、深圳開源互聯網安全技術有限公司、奇安信科技集團股份有限公司、中國聯合網絡通信集團有限公司、中興通訊股份有限公司、杭州安恒信息技術股份有限公司、新華三技術有限公司、西安郵電大學、杭州默安科技有限公司等十余家單位，共同制定了《面向云計算的研發運營安全工具能力要求 第2部分：靜態應用程序安全測試工具》、《面向云計算的研發運營安全工具能力要求 第3部分：交互式應用程序安全測試工具》系列行業標準。

標準規定了靜態應用程序安全測試工具（SAST）及交互式應用程序安全測試工具（IAST）的基本能力要求，涵蓋檢測掃描分析能力要求、靈活性能力要求、分析輔助能力要求、開發流程嵌入能力要求、擴展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服務支持能力要求九大部分，具體包括支持的語言類型、框架類型、漏報率要求、誤報率要求、缺陷定位、掃描結果分析對比、告警能力等。

相關評估同步推出

目前可信研發運營安全系列評估包含三大部分，可信研發運營安全能力成熟度評估、靜態應用程序安全測試工具能力評估（SAST） 及 交互式應用程序安全測試工具能力評估（IAST）。

可信研發運營安全能力成熟度評估強調安全左移，關注研發安全，分為管理制度以及涉及軟件應用服務全生命周期的要求階段、安全需求分析階段、設計階段、研發階段、驗證階段、發布階段、運營階段和下線階段九大部分，每個部分提取了關鍵安全要素，對于企業的研發運營安全能力從全生命周期維度進行評估，自低向高依次分為基礎級、增強級和先進級。

靜態應用程序安全測試工具能力評估及交互式應用程序安全測試工具能力評估從用戶視角出發，針對安全工具能力及性能進行評估，幫助用戶進行選型參考，具體能力涵蓋掃描檢測分析能力要求、靈活性能力要求、分析輔助能力要求、開發流程嵌入能力要求、擴展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服務支持能力要求九大部分。

評估及標準編寫參與