《信息安全技術(shù) 面向服務(wù)架構(gòu)類應(yīng)用安全技術(shù)要求》（征求意見(jiàn)稿）編制說(shuō)明

1《信息安全技術(shù)面向服務(wù)架構(gòu)類應(yīng)用安全技術(shù)要求》一、工作簡(jiǎn)況（一）任務(wù)來(lái)源本標(biāo)準(zhǔn)2023年由北京啟明星辰信息安全技術(shù)有限公司向中國(guó)基本建設(shè)優(yōu)化研究會(huì)（簡(jiǎn)稱：中基會(huì)）提出立項(xiàng)，中基會(huì)于2023年5月31日正式下達(dá)立項(xiàng)計(jì)劃，計(jì)劃編號(hào)為：P2023-06。本標(biāo)準(zhǔn)由中國(guó)基本建設(shè)優(yōu)化研究會(huì)提出并歸口。本標(biāo)準(zhǔn)由北京啟明星辰信息安全技術(shù)有限公司為牽頭單位的起草小組組織起草。（二）標(biāo)準(zhǔn)制訂的目的和意義目前，安全開(kāi)發(fā)生命周期（SDL）在國(guó)內(nèi)外有廣泛的應(yīng)用，并在此基礎(chǔ)上進(jìn)行修改以求適配當(dāng)前企業(yè)現(xiàn)狀。同時(shí)BSIMM相關(guān)軟件成熟度評(píng)估模型也逐步擴(kuò)大影響力，用于從指標(biāo)/量化方面進(jìn)行應(yīng)用安全相關(guān)評(píng)估從而更好的知道應(yīng)用安全防御體系的建設(shè)。在應(yīng)用安全風(fēng)險(xiǎn)檢測(cè)/防御領(lǐng)域，目前業(yè)內(nèi)對(duì)運(yùn)行時(shí)應(yīng)用自我保護(hù)（RASP）等新型防御技術(shù)以及交互式應(yīng)用程序安全測(cè)試（IAST）等檢測(cè)技術(shù)投入相當(dāng)大的關(guān)注度和研究過(guò)程，希望從運(yùn)行態(tài)中進(jìn)行更加全面/更加有效的風(fēng)險(xiǎn)檢測(cè)/防御。但因?yàn)閮烧咴趶?fù)雜的業(yè)務(wù)技術(shù)場(chǎng)景下對(duì)業(yè)務(wù)穩(wěn)定性的影響不好評(píng)估，因此在工業(yè)界還處于初步嘗試落地狀態(tài)。結(jié)合應(yīng)用軟件行業(yè)快速迭代，快速交付等特性，應(yīng)用安全標(biāo)準(zhǔn)未來(lái)的發(fā)展趨勢(shì)，需要著力于解決日常業(yè)務(wù)復(fù)雜性和業(yè)務(wù)體量增加帶來(lái)的挑戰(zhàn)，專家經(jīng)驗(yàn)無(wú)法復(fù)用需要沉淀、業(yè)務(wù)運(yùn)營(yíng)成本高、安全人員支撐系統(tǒng)部完備、風(fēng)險(xiǎn)感知滯后等痛點(diǎn)問(wèn)題。伴隨互聯(lián)網(wǎng)的快速發(fā)展，傳統(tǒng)PC應(yīng)用逐步擴(kuò)張到移動(dòng)、IoT等領(lǐng)域，應(yīng)用的復(fù)雜度、應(yīng)用面臨的攻擊面也隨之?dāng)U大。相關(guān)組織在實(shí)際業(yè)務(wù)生產(chǎn)過(guò)程中，或多或少會(huì)面臨來(lái)自外界的安全風(fēng)險(xiǎn)，而應(yīng)用作為直接對(duì)外暴露的主要服務(wù)之一，它的安全也是組織的第一道防線，組織如何建立有效的應(yīng)用安全機(jī)制對(duì)線上業(yè)務(wù)安全高效運(yùn)行顯得尤其重要。目前我們已經(jīng)發(fā)布和在研的應(yīng)用安全相關(guān)標(biāo)準(zhǔn)，如《應(yīng)用軟件安全編程指南》、《應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求》、《應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南》等是對(duì)具體編程、系統(tǒng)方面的要求和指導(dǎo)，沒(méi)有對(duì)組織能力建設(shè)方面的指導(dǎo)性標(biāo)準(zhǔn)。因此迫切需要相關(guān)標(biāo)準(zhǔn)為組織應(yīng)用安全能力體系建設(shè)提供參考依據(jù)。本標(biāo)準(zhǔn)可用于指導(dǎo)組織開(kāi)展應(yīng)用安全能力體系建設(shè)，也可用于第三方評(píng)估機(jī)構(gòu)等對(duì)組織的應(yīng)用安全能力進(jìn)行評(píng)估時(shí)參考。主要解決的問(wèn)題如下：（1）組織如何建設(shè)和提升應(yīng)用安全能力；（2）在應(yīng)用安全實(shí)踐中，如何降本增效，如何推進(jìn)應(yīng)用安全的有效執(zhí)行；（3）如何評(píng)估應(yīng)用安全執(zhí)行的效果；（4）在應(yīng)用軟件開(kāi)發(fā)過(guò)程中，數(shù)據(jù)安全、供應(yīng)鏈安全等也成為不可忽視的重要安全因素，如何將應(yīng)用安全、數(shù)據(jù)安全、供應(yīng)鏈安全等有機(jī)整合，全方位提升應(yīng)用安全水平。（三）主要工作過(guò)程2（1）項(xiàng)目預(yù)研項(xiàng)目前期，主編單位、中國(guó)基本建設(shè)優(yōu)化研究會(huì)、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司對(duì)信息安全技術(shù)進(jìn)行了系統(tǒng)的研究，針對(duì)應(yīng)用軟件的市場(chǎng)情況、需求情況等進(jìn)行了資料查證和企業(yè)走訪調(diào)研，并結(jié)合專家意見(jiàn)形成了立項(xiàng)建議書(shū)和標(biāo)準(zhǔn)草案框架。2023年5月29日召開(kāi)了立項(xiàng)評(píng)估會(huì)，經(jīng)專家論證，同意該標(biāo)準(zhǔn)立項(xiàng)。中國(guó)基本建設(shè)優(yōu)化研究會(huì)于2023年5月31日下達(dá)了標(biāo)準(zhǔn)制定計(jì)劃。（2）項(xiàng)目立項(xiàng)2023年5月31日上午，中國(guó)基本建設(shè)優(yōu)化研究會(huì)下達(dá)了《信息安全技術(shù)應(yīng)用安全能力體系建設(shè)指南》等7項(xiàng)“信息安全技術(shù)”系列團(tuán)體標(biāo)準(zhǔn)立項(xiàng)通知，要求標(biāo)準(zhǔn)主要起草單位抓緊落實(shí)和實(shí)施計(jì)劃，在標(biāo)準(zhǔn)起草過(guò)程中加強(qiáng)與有關(guān)方面的協(xié)調(diào)，廣泛聽(tīng)取意見(jiàn)，保證標(biāo)準(zhǔn)質(zhì)量和水平，按時(shí)完成團(tuán)體標(biāo)準(zhǔn)制訂任務(wù)。（3）項(xiàng)目啟動(dòng)及首次研討會(huì)2023年6月27日，由中國(guó)基本建設(shè)優(yōu)化研究會(huì)主辦、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司承辦的《信息安全技術(shù)面向服務(wù)架構(gòu)類應(yīng)用安全技術(shù)要求》等7項(xiàng)“信息安全技術(shù)”系列團(tuán)體標(biāo)準(zhǔn)啟動(dòng)會(huì)在北京召開(kāi)。中國(guó)基本建設(shè)優(yōu)化研究會(huì)黨委書(shū)記（會(huì)長(zhǎng)）孫曉洲、中國(guó)標(biāo)準(zhǔn)化委員會(huì)委員（博士生導(dǎo)師）強(qiáng)毅出席會(huì)議并致辭，中國(guó)基本建設(shè)優(yōu)化研究會(huì)秘書(shū)長(zhǎng)宮然、中國(guó)基本建設(shè)優(yōu)化研究會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)主任委員段小莉出席會(huì)議并總結(jié)發(fā)言，公安部科技信息化局原局長(zhǎng)厲劍、中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心大數(shù)據(jù)部副主任（國(guó)家基礎(chǔ)學(xué)科公共科學(xué)數(shù)據(jù)中心主任）胡良霖、中國(guó)標(biāo)準(zhǔn)化研究院高新技術(shù)與信息標(biāo)準(zhǔn)化研究所副所長(zhǎng)王志強(qiáng)、國(guó)家信息技術(shù)安全研究中心原副總工程師宮亞峰等領(lǐng)導(dǎo)和專家出席會(huì)議。會(huì)議由中國(guó)基本建設(shè)優(yōu)化研究會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)副主任委員（北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司首席技術(shù)官）張德保主持。《信息安全技術(shù)應(yīng)用安全能力體系建設(shè)指南》等7項(xiàng)“信息安全技術(shù)”系列團(tuán)體標(biāo)準(zhǔn)首次研討會(huì)由中國(guó)基本建設(shè)優(yōu)化研究會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)副主任委員（中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心大數(shù)據(jù)部副主任、國(guó)家基礎(chǔ)學(xué)科公共科學(xué)數(shù)據(jù)中心主任）胡良霖主持，北京啟明星辰信息安全技術(shù)有限公司代表標(biāo)準(zhǔn)起草組，對(duì)《信息安全技術(shù)應(yīng)用安全能力體系建設(shè)指南》標(biāo)準(zhǔn)的主筆單位、研制背景、標(biāo)準(zhǔn)主要內(nèi)容和標(biāo)準(zhǔn)編制情況進(jìn)行了介紹，并匯報(bào)了會(huì)議前收到的修改意見(jiàn)預(yù)處理情況。隨后，參會(huì)代表結(jié)合意見(jiàn)預(yù)處理情況，圍繞標(biāo)準(zhǔn)的名稱、技術(shù)框架、條款的陳述方式等方面展開(kāi)了熱烈的討論，主編單位代表對(duì)各參會(huì)代表所提建議和意見(jiàn)進(jìn)行了詳細(xì)的記錄和解答。會(huì)后，標(biāo)準(zhǔn)起草組針對(duì)啟動(dòng)會(huì)會(huì)前和會(huì)上，和專家提出的27條建議和意見(jiàn)進(jìn)行分析和研究，對(duì)標(biāo)準(zhǔn)草案進(jìn)行相應(yīng)修改與完善，形成新一版的標(biāo)準(zhǔn)文本。經(jīng)標(biāo)準(zhǔn)研制組研究討論，將標(biāo)準(zhǔn)名稱改為《信息安全技術(shù)面向服務(wù)架構(gòu)類應(yīng)用安全技術(shù)要求》。（4）第二次研討會(huì)2023年10月20日，由中國(guó)基本建設(shè)優(yōu)化研究會(huì)主辦，北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司、中國(guó)工業(yè)互聯(lián)網(wǎng)研究院聯(lián)合承辦的《信息安全技術(shù)面向服務(wù)架構(gòu)類應(yīng)用安全技術(shù)要求》等7項(xiàng)信息安全技術(shù)系列團(tuán)體標(biāo)準(zhǔn)第二次研討會(huì)在京成功召開(kāi)。中國(guó)基本建設(shè)優(yōu)化研究會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)主任委員、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司總經(jīng)理段小莉，中國(guó)工業(yè)互聯(lián)網(wǎng)研究院主任薛強(qiáng)出席會(huì)議并致辭，公安部科技信息化局原黨委書(shū)記、局長(zhǎng)（研究員）厲劍作為特邀專家出席會(huì)議并做點(diǎn)評(píng)。自59家企事業(yè)單位60余名代表參加3了會(huì)議，會(huì)議由中國(guó)基本建設(shè)優(yōu)化研究會(huì)標(biāo)準(zhǔn)化技術(shù)委員會(huì)標(biāo)準(zhǔn)化工程師吳建全主持。主編單位北京啟明星辰信息安全技術(shù)有限公司代表標(biāo)準(zhǔn)起草組介紹標(biāo)準(zhǔn)討論稿和意見(jiàn)處理情況，參會(huì)領(lǐng)導(dǎo)、專家和企業(yè)代表重點(diǎn)圍繞標(biāo)準(zhǔn)的范圍和定位、技術(shù)框架、性能指標(biāo)、條款內(nèi)容等方面展開(kāi)了熱烈的討論，并對(duì)標(biāo)準(zhǔn)文本的修改和完善提出了很多寶貴的建議和意見(jiàn)。同時(shí)，特邀專家公安部科技信息化局原黨委書(shū)記、局長(zhǎng)（研究員）厲劍從專業(yè)技術(shù)角度對(duì)標(biāo)準(zhǔn)進(jìn)行了專業(yè)點(diǎn)評(píng)。主編單位代表對(duì)各參編單位代表所提建議和意見(jiàn)進(jìn)行了詳細(xì)的記錄和解答，會(huì)后，標(biāo)準(zhǔn)起草組針對(duì)各單位和專家提出的31條修改建議進(jìn)行了處理，并對(duì)相應(yīng)的標(biāo)準(zhǔn)文本進(jìn)行修改。（四）主要參加起草單位和工作組成員所做的工作本標(biāo)準(zhǔn)起草工作組由北京啟明星辰信息安全技術(shù)有限公司為牽頭單位組成。起草組承擔(dān)了標(biāo)準(zhǔn)起草的組織、標(biāo)準(zhǔn)文本的編制、重點(diǎn)企業(yè)意見(jiàn)征求、標(biāo)準(zhǔn)編制說(shuō)明的撰寫(xiě)和內(nèi)審等工作。二、標(biāo)準(zhǔn)編制原則和確定標(biāo)準(zhǔn)主要內(nèi)容的依據(jù)（一）標(biāo)準(zhǔn)編寫(xiě)原則本標(biāo)準(zhǔn)按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。起草過(guò)程，充分考慮現(xiàn)有相關(guān)標(biāo)準(zhǔn)的統(tǒng)一和協(xié)調(diào)；標(biāo)準(zhǔn)的要求充分考慮了國(guó)內(nèi)當(dāng)前的行業(yè)技術(shù)水平，對(duì)草案內(nèi)容進(jìn)行多次征求意見(jiàn)和充分討論。（二）確定標(biāo)準(zhǔn)主要技術(shù)指標(biāo)的基本原則編制文件的目標(biāo)是通過(guò)規(guī)定清楚、準(zhǔn)確和無(wú)歧義的條款,使得本指南能夠?yàn)槲磥?lái)技術(shù)發(fā)展提供框架。并被未參加文件編制的專業(yè)人員所理解且易于應(yīng)用,從而促進(jìn)應(yīng)用安全產(chǎn)品和技術(shù)的發(fā)展以及技術(shù)合作。,起草本指南時(shí)，編制組基于應(yīng)用安全最新技術(shù)水平和當(dāng)前市場(chǎng)情況，認(rèn)真分析應(yīng)用安全領(lǐng)域的標(biāo)準(zhǔn)化需求，考慮了以下總體原則:1)一致性原則：本文件各章節(jié)之間結(jié)構(gòu)以及要素的表述宜保持一致；2)協(xié)調(diào)性原則：起草的文件與現(xiàn)行有效的文件之間宜相互協(xié)調(diào)，避免重復(fù)和不必要的差異；3)易用性原則：本文件的內(nèi)容的表述宜便于直接應(yīng)用,并且易于被其他文件引用或剪裁使用。（三）主要內(nèi)容本標(biāo)準(zhǔn)給出了以面向服本文件針對(duì)面向服務(wù)架構(gòu)方法設(shè)計(jì)的應(yīng)用系統(tǒng)，安全技術(shù)要求由技術(shù)要求和安全管理要求兩部分構(gòu)成，其中應(yīng)用安全防護(hù)技術(shù)要求又分為應(yīng)用運(yùn)營(yíng)安全防護(hù)技術(shù)要求、動(dòng)態(tài)訪問(wèn)控制技術(shù)要求以及密碼服務(wù)技術(shù)要求；應(yīng)用安全管理要求又分為安全防護(hù)能力配置管理和應(yīng)用功能管理。務(wù)架構(gòu)方法構(gòu)建的應(yīng)用安全技術(shù)要求和應(yīng)用安全管理要求。（1）應(yīng)用安全技術(shù)要求——應(yīng)用運(yùn)營(yíng)安全防護(hù)技術(shù)：應(yīng)用安全識(shí)別、應(yīng)用安全防護(hù)、應(yīng)用安全監(jiān)測(cè)、應(yīng)用安全響應(yīng)、溯源與反制?！?jiǎng)討B(tài)訪問(wèn)控制技術(shù)：應(yīng)用認(rèn)證、應(yīng)用權(quán)限、應(yīng)用審計(jì)、終端環(huán)境感知——密碼服務(wù)技術(shù)：算法和密鑰相關(guān)技術(shù)4（2）安全管理要求——安全防護(hù)能力配置管理：支持對(duì)安全識(shí)別、安全防護(hù)、安全檢測(cè)、安全響應(yīng)等服務(wù)的各種配置的統(tǒng)一管理，包括但不限于相應(yīng)服務(wù)的基本配置、管理界面、使用界面。——應(yīng)用功能管理：認(rèn)證管理、權(quán)限管理、終端環(huán)境感知管理、審計(jì)管理?！\(yùn)維管理：各子系統(tǒng)、組件程序；系統(tǒng)設(shè)備、接口運(yùn)行等。（四）主要依據(jù)本標(biāo)準(zhǔn)在貫徹落實(shí)我國(guó)網(wǎng)絡(luò)安全、信息安全相關(guān)國(guó)家政策基礎(chǔ)上，通過(guò)研究分析相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)提出本項(xiàng)目的研制思路，主要參考以下標(biāo)準(zhǔn)：GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T34080.4-2021基于云計(jì)算的電子政務(wù)公共平臺(tái)安全規(guī)范第4部分:應(yīng)用安全GA/DSJ300GA/DSJ350GA/DSJ351GA/DSJ352公安大數(shù)據(jù)安全總體技術(shù)框架公安大數(shù)據(jù)安全安全訪問(wèn)與數(shù)據(jù)交換技術(shù)設(shè)計(jì)要求公安大數(shù)據(jù)安全零信任體系技術(shù)設(shè)計(jì)要求公安大數(shù)據(jù)安全安全防護(hù)體系技術(shù)設(shè)計(jì)要求GM/T0054-2018信息系統(tǒng)密碼應(yīng)用基本要求三、與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對(duì)比情況國(guó)外暫無(wú)面向服務(wù)架構(gòu)的應(yīng)用安全能力體系相關(guān)標(biāo)準(zhǔn)。四、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)關(guān)系的說(shuō)明目前我們已經(jīng)發(fā)布和在研的應(yīng)用安全相關(guān)標(biāo)準(zhǔn)，如《應(yīng)用軟件安全編程指南》、《應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求》、《應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南》等是對(duì)具體編程、系統(tǒng)方面的要求和指導(dǎo)，沒(méi)有對(duì)組織能力建設(shè)方面的指導(dǎo)性標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)填補(bǔ)相關(guān)空白，為組織應(yīng)用安全能力體系建設(shè)提供參考依據(jù)。五、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)本文件在起草過(guò)程中，對(duì)標(biāo)準(zhǔn)中的技術(shù)內(nèi)容沒(méi)有發(fā)生重大分歧。六、涉及專利的有關(guān)說(shuō)明本文件不涉及專利。七、數(shù)據(jù)驗(yàn)證5核心內(nèi)容和技術(shù)要求依據(jù)：本標(biāo)準(zhǔn)通過(guò)收集、整理當(dāng)前信息安全技術(shù)面向服務(wù)架構(gòu)的應(yīng)用安全能力體系產(chǎn)品技術(shù)相關(guān)國(guó)內(nèi)外文獻(xiàn)22篇，查閱數(shù)字化相關(guān)現(xiàn)行國(guó)家、行業(yè)標(biāo)準(zhǔn)數(shù)十項(xiàng)，并調(diào)研涉及信息安全技術(shù)面向服務(wù)架構(gòu)的應(yīng)用安全能力體系技術(shù)應(yīng)用的企業(yè)5家。為本標(biāo)準(zhǔn)核心內(nèi)容和技術(shù)指標(biāo)做了哪些驗(yàn)證？本文件核心內(nèi)容分為兩部分，分別為應(yīng)用安全技術(shù)要求和應(yīng)用安全管理要求；其中應(yīng)用安全技術(shù)要求又分為應(yīng)用運(yùn)營(yíng)安全防護(hù)技術(shù)要求、動(dòng)態(tài)訪問(wèn)控制技術(shù)要求以及密碼服務(wù)技術(shù)要求。應(yīng)用運(yùn)營(yíng)安全防護(hù)技術(shù)聚焦于應(yīng)用運(yùn)行過(guò)程安全防護(hù)，以IPDRR作為為基礎(chǔ)框架，建立了以識(shí)別為基礎(chǔ)，以防護(hù)、檢測(cè)為中心，以響應(yīng)恢復(fù)和常態(tài)化保障作為支撐，最終建立“事前、事中、事后”的全過(guò)程支撐能力，變被動(dòng)為主動(dòng)，直至達(dá)到完全的動(dòng)態(tài)自適應(yīng)安全能力。本文件中的應(yīng)用運(yùn)行過(guò)程安全防護(hù)技術(shù)要求中的能力已在公安、政法、政務(wù)、金融、央企等多個(gè)行業(yè)進(jìn)行了落地和驗(yàn)證，產(chǎn)品與解決方案均較為成熟。動(dòng)態(tài)訪問(wèn)控技術(shù)要求和應(yīng)用安全管理要求均是以零信任框架，包括了認(rèn)證、權(quán)限、環(huán)境感知、審計(jì)；最開(kāi)始在遠(yuǎn)程辦公場(chǎng)景使用，隨著需求和產(chǎn)品的豐富，現(xiàn)已逐步使用于更廣泛的場(chǎng)景：如分支機(jī)構(gòu)接入、開(kāi)發(fā)測(cè)試、安全運(yùn)維、跨域訪問(wèn)、跨網(wǎng)訪問(wèn)、跨網(wǎng)交換等，在各行各業(yè)打造典型了眾多樣版案例。密碼服務(wù)要求從算法支持和安全密鑰更新周期的設(shè)置給出了要求，在密碼產(chǎn)品中均已實(shí)現(xiàn)，如VPN、各類密碼機(jī)等。八、預(yù)期社會(huì)經(jīng)濟(jì)效益目前，安全開(kāi)發(fā)生命周期（SDL）在國(guó)內(nèi)外有廣泛的應(yīng)用，并在此基礎(chǔ)上進(jìn)行修改以求適配當(dāng)前企業(yè)現(xiàn)狀。同時(shí)BSIMM相關(guān)軟件成熟度評(píng)估模型也逐步擴(kuò)大影響力，用于從指標(biāo)/量化方面進(jìn)行應(yīng)用安全相關(guān)評(píng)估從而更好的知道應(yīng)用安全防御體系的建設(shè)。在應(yīng)用安全風(fēng)險(xiǎn)檢測(cè)/防御領(lǐng)域，目前業(yè)內(nèi)對(duì)運(yùn)行時(shí)應(yīng)用自我保護(hù)（RASP）等新型防御技術(shù)以及交互式應(yīng)用程序安全測(cè)試（IAST）等檢測(cè)技術(shù)投入相當(dāng)大的關(guān)注度和研究過(guò)程，希望從運(yùn)行態(tài)中進(jìn)行更加全面/更加有