POC需求报告---代码审计

1、XXX限公司信息部“数据中央平安平台建设-代码审计系统项 目需求报告首次发布：2021-1-19最后修订：1/19/20211.2.3.4.文档说明 21.1. 编写目的21.2. 预期读者21.3. 术语与缩写解释2使用范围 错误!未定义书签.需求调研报告 错误!未定义书签.需求汇总 61、需求描述1)2)2、1)1 .文档说明1.1. 编写目的本文档是中央平安平台建设 -代码审计系统工程的需求调研报告,文中详尽说明了业务部门提出的项 目需求.本文档是工程组进行需求分析的依据,也是明确工程目标和工程范围,进行系统设计的根底.1.2. 预期读者本文档的预期读者为源代码审计工程的业务部门、工程组

2、成员、工程经理、评审组,用来对工程组所调研的业务需求进行审核确认并达成共识.1.3. 术语与缩写解释1 工程总体需求本工程作为局方 20212021平安水平建设工程?XX公司信息平安风险治理研究?的组成之一,旨在建设代码审计系统,通过检查源代码中的缺点和错误信息,分析并找到平安漏洞,提供代码修订举措和建议,从而在系统开发阶段/运维阶段进行深入的问题查找和消灭,融合平安开发生命周期的治理流程,逐步推进XX中心平安生命周期及平安开发标准的落地实现.2 代码平安审计引擎建设需求参与本工程的代码审计系统产品须具有国家版权局颁发的软件著作权登记证书,且须满足以下两点中至少一点：入围 Gartner 的产

3、品；经XXX我公司本地POC验证,检测水平、误报率、产品性能等指标不低于Gartner 入围产产品的其他国产产品,并须由供给商证实产品的核心技术、整体软件国产化,属于自主可控国产产品.代码审计工具(引擎)技术与功能要求：支持对 JAVA JSP, C, C+, PHP ASP, C#, JavaScript , VBScript ,Python , HTML, XML等十几开发语言的平安漏洞的检查,能够检测出约1000种漏洞.并将所有平安漏洞系统地整理并依据漏洞的表现形式,形成原因和危害程序进行科学地分类,共分为“输入验证、API误用、质量性能、异常处理、代码标准、平安限制、环境配置、信息封装

4、、“国内特色 9个大类, 然后根据开发语言的不同,在结合国际漏洞标准组织CWE的漏洞知识库进行细分和命名,目前约 1000个子类.2) 该检测系统的云效劳支持在Windows和Liunx两种系统平台上部署.其分析引擎可以通过分布式的部署方式可以将不同开发平台,如Windows,Linux , Unix , Mac OS 上不同语言的开发工程进行统计测试.3) 检测引擎可支持多个工程并发扫描.检测引擎应能够分布式部署,可在多台机器(或虚拟机器)上集群式部署检测引擎来扩展并发测试水平.如：检测引擎部署在10测试机上,支持 20个测试工程同时检查.支持页面对集群 机器的集中维护和启停.4) 须涵盖C

5、VE CWE OWASP Top 10 WAS刎种平安标准中至少两种标准.在 上述标准的根底上实现支持检测缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码治理、配置错误、危险函数等缺陷检测.支持对数据流、 语义、限制流、配置、代码结果等多维角度进行分析,具备较高的检测水平并具备较低的误报水平.5) 为用户提供企业级的平安测试治理功能,用户可以通过WEB的方式进行项目治理,平安测试,结果查看,协同审计,出具报表等多项工作.6) 支持漏洞代码关联分析与定位,能够迅速定位某一特定平安问题所在的源代码行,对问题产生的整个过程进行跟踪,展示漏洞产生的全过程.提供漏洞详细的描述及解决方案,方便分

6、析和修复.7) 支持对问题处理的每一个动作进行记录,并须支持漏洞的查询过滤,能与之前审计结果进行合并,减少工作量.8) 源代码平安检测无缝集成于开发测试流程,提供API并完成与用户邮件系统、软件研发中央 SVN Git版本治理工具的集成联动,代码审计工具可从 代码版本治理系统中自动复制获取提交更新的独立版根源代码(可根据需求配置需同步的版本节点,且不影响版本治理工具中存储的任何文件),代码审计工具自动发起扫描任务进行代码审计检测,实现代码自动上传、 代码平安扫描、自动分析、邮件通知、平安漏洞缺陷导入、 跟踪和统计分析等任 务自动化.9) 代码审计分析与处理过程在效劳端进行,对用户本地计算资源无

7、占用.效劳端具备高效的审计分析水平,支持百万行级的代码工程审计,且平均速度不低于1万行/分钟.对于多任务并发须支持任务的集中统一治理,并能够对 多任务自动进行批量处理.10) 支持检测代码中是否引用的开源代码模块,并检测开源模块中是否存在安全漏洞,最大程度降低开源代码引入的平安风险(加分项).11) 支持与漏洞扫描工具集成联动,对扫描工具检测到的问题, 根据程序的流程记录漏洞产生的程序的执行过程,定位到对应的源代码(加分项).12) 具备漏洞问题自动划分优先级,根据问题的严重性和可能性进行威胁级别 的划分,如危险、高、中、低等多个级别,须集成完善的漏洞分级标准和定 义库,支持对源代码平安缺陷扫

8、描结果进行分类分级汇总.13) 能够支持通过浏览器方式远程查看和审计测试结果,查看漏洞点及产生过 程信息.能支持平安问题的查询和过滤功能,方便审计人员针对某一特定条件进行精准查询,对满足条件的漏洞进行统一审计和标注.14) 能够支持对工程的两次测试结果的比拟报告,并罗列审计状态的比拟和计 算出漏洞修复率.15) 用户能够根据企业自身需要来调整和修改问题的默认分级策略, 方便审计.如：用户可以自定义漏洞的级别,添加TOP10别.16) 支持输出包括HTML PDR EXCELlf种格式的检测报告,报告内容可对缺陷等级、缺陷类型、修复建议、跟踪路径根据需求进行配置.缺陷报告应可 依据不用的用户角色

9、生成治理人员报告与开发人员报告.治理人员报告主 要包括缺陷等级及缺陷类型等根本统计信息,开发人员报告除了包括缺陷等级及缺陷类型等根本统计信息外,还应包括缺陷分类、缺陷描述、修复建议、风险点、缺陷跟踪信息等详细信息.17)该测试系统提供知识分享平台,用户可以方便查看、学习各个开发 语言的平安漏洞知识,提升平安开发水平.同时支持用户对漏洞知 识进行自定义,添加或补充用户自身总结的平安漏洞经验.18) 该测试系统提供对工程结果进行评分功能,用户可以根据工程的重要性,漏洞的级别,漏洞审计的结果等因素对评分进行权重设计,自定义各项评分因子,并根据用户自定义产生评分评级报告.19) 该测试系统提供测试的标

10、准或基线治理功能,方便用户将企业的平安测试 标准、基线进行发布和推广.3、漏洞治理功能与技术要求：1) 治理功能实现对代码审计工具(引擎)的使用调度与治理, 须为基于企业云部署方式,集群式架构,可分布式处理多用户、 多任务的测试需求. 支持无 限扩展并发测试任务数,测试性能强大,稳定.能够实现扫描任务发起、漏洞通告、跟踪和统计分析等任务的自动化,实现XX公司平安生命周期的落地.2) 该测试系统的用户角色应分为系统治理员,治理员,平安审计员,平安测试员,漏洞查看员五个不同有角色,方便用户根据工程测试的实际情况组合使用.3) 支持日志功能,每次扫描均须日志记录, 记录内容包括但不仅限于： 扫描的对

11、象、扫描开始时间、完成时间、发起人员、扫描结果情况等.4) 支持展示每一个源代码缺陷分析任务的相关信息,信息应包括任务名称、开发语言、发起时间、完成时间、检测状态、缺陷总数、等级分布以及创立者 信息.5) 支持展示每一个源代码缺陷分析任务所检测的对象(文件列表) 、测试过程的分析引擎日志,方便用户查看是否存在测试不完整或测试不正确的情况.6) 该测试系统应能够提供测试的计费治理功能.可以对用户账号充费, 可以设置充值金额,同时也可以对单次测试的收费额度进行设置.7) 支持根据多种条件对源代码缺陷分析任务进行查询.8) 支持对测试任务的相关情况进行报表统计与治理,查询与生成报表的条件包括但不仅限于：测试时间,部门、工程级、开发语言、测试人员等,统计的结果包括但不限于： 测试状态、测试的漏洞总数、 严重漏洞数等内容. 并 以报表形式导出.3 其他需求1、 供给商须为原厂或须具备原厂授权的总代理或行业金牌代理资质.2、 供给商需提供至少一年的维保效劳,效劳期内免费提供代码审计系统版本、检测规那么、治理平台的升级与相关维保效劳.2.需求汇总提示：经过屡次调研将最终确定的需求分类汇总于此表.编R需求项具体描述需求等级需求来源是否可实现备注1.功能需求1.1代码平安审计引擎建设需求必须是1.21.31.42.性能需求2.12.22.32.43.安上