2024-12-18发布 2024-12-18实施ICS35.240.40 CCSA11 T/ZFIDA0004—2024团体标准 中关村金融科技产业发展联盟发布金融业应用安全测试产品检测能力评估 准则第1部分：静态应用安全测试 Assessmentcriteriaforapplicationsecuritytestingproducts detectioncapabilityinfinancialindustryPart1:Static applicationsecuritytesting 全国团体标准信息平台 全国团体标准信息平台 T/ZFIDA0004-2024 I目  次 前  言..................................................................II 引  言.................................................................III 1范围.....................................................................1 2规范性引用文件...........................................................1 3术语和定义...............................................................1 4缩略语...................................................................2 5评估框架.................................................................2 5.1概述...................................................................2 5.2检测能力...............................................................3 5.3能力等级...............................................................4 6检测能力完整度评价.......................................................5 6.1概述...................................................................5 6.2语言特性识别完整度.....................................................6 6.3单应用跟踪完整度.......................................................6 6.4动态特性跟踪完整度....................................................10 6.5三方包跟踪完整度......................................................10 6.6二阶数据流跟踪完整度..................................................11 6.7跨应用跟踪完整度......................................................11 7准确度评价项............................................................11 7.1概述..................................................................11 7.2流敏感分析............................................................11 7.3上下文敏感分析........................................................12 7.4对象敏感与域敏感分析..................................................12 7.5路径敏感分析..........................................................12 8性能评价................................................................13 9评估流程................................................................13 附录A（资料性）SAST产品检测能力评价表...............................15 参 考 文 献............................................................16 全国团体标准信息平台 T/ZFIDA0004-2024 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中关村金融科技产业发展联盟归口。 本文件起草单位：北京国家金融科技认证中心有限公司、蚂蚁科技集团股份有限公司、中关村金融 科技产业发展联盟、中关村互联网金融研究院、中国工商银行股份有限公司、中信银行股份有限公司、 北京银行股份有限公司、浙江网商银行股份有限公司、杭州华为云计算技术有限公司、拉卡拉支付股份 有限公司、上海蜚语信息科技有限公司、北京酷德啄木鸟信息技术有限公司、北京快手科技有限公司、 北京国舜科技股份有限公司、深圳海云安网络安全技术有限公司、苏州棱镜七彩信息科技有限公司、北 京车晓科技有限公司、中科聚信信息技术（北京）有限公司、中科软科技股份有限公司、北京海星科技 产业服务有限公司 本文件起草人：李振、李博文、冯晓文、王雅仪、余瞰、边立忠、白晓媛、张利歌、李婷、华巍、 时绍森、周翔宇、程岩、彭晋、尉郭晨、祖宇飞、李弈龙、陆碧波、曹琳虹、旷亚和、姜城、张然、张 心、高佩明、魏辰、沈栋、董镇山、姜冰、束骏亮、吴兴川、杨文博、刘勇、曹亭亭、方蕊、赵浚雅、 齐柏尧、杨小强、史明超、落红卫、谷晨、李晨曦、李会丽、丁延彪、范强、陈振、谢源、刘关萍、王 俊、王辉、左春、王建林 全国团体标准信息平台