源码安全检测产品功能技术指标-思客云

软件源代码安全检测产品功能技术指标技术参数指标要求*产品结构该测试系统的界面应为B/S架构系统、WEB化界面，用户可以通过浏览器远程操作系统所有功能。包括上传源代码（或通过版本控制获取源代码），提交测试，查看结果，审计漏洞，产生报告等操作操作。该测试系统的界面应为全中文操作界面，界面友好，功能划分清晰，易操作能够满足用户开源系统平台部署的要求，该产品所有部分必须能够在Linux平台上安装、部署。参与本项目的源代码测试系统产品须具有国家版权局颁发的软件著作权登记证书。*分析功能能够从代码多个方面检查，如可以对污染数据的传递过程、代码上下文结构、代码执行路径、程序配置以及潜在危险的函数等方面进行全面安全检测。检测引擎支持多种常见编程语言，包括ASP.NET,C/C++,C#,Java,JSP,XML,VB.NET，ASP，PHP，JavaScript,Android-Java，PL-SQL/T-SQL,VB,VBScript,Objective_C,Python,COBOL,Ruby,等多种语言，所支持的语言不能另外收取任何费用。能够支持兼容AIX操作系统xlC编译器编译的ESQLC\C++和SQC代码的安全扫描。能够支持如OWASPTOP，PCI，CWE等多项国际安全漏洞标准能够支持如SQL注入、跨站脚本、命令注入、路径操纵、密码管理、未释放的资源、内存泄漏、缓冲区溢出，硬编码身份证号码，硬编码银行卡号，硬编码手机号码，死循环，性能问题：循环体内创建对象、性能问题：循环体内try块等多种常见安全漏洞和代码规范。检测工具官方声明总共支持的漏洞种类数量应不低于1000种能够支持与Eclipse,VisualStudio进行集成，方便用户在IDE环境中直接提交测试任务，完成安全测试。能够支持与黑盒WEB安全扫描工具进行集成，在一个平台，统一界面上调度白盒和黑盒扫描引擎，完成黑白盒统一测试的工作。支持检测代码中是否引用的开源代码模块，并检测开源模块中是否存在安全漏洞，最大程度降低开源代码引入的安全风险能够支持与开源组件管理和安全漏洞检查集成，在一个平台，统一界面上完成项目的

源代码，以及项目的开源组件安全漏洞统一测试的工作。*安全审计功能能够对安全漏洞扫描结果的进行汇总，并按照问题的严重性和可能性进行级别的划分，如危险，高，中，低四个级别。用户能够根据企业自身需要来调整和修改问题的默认分级策略，方便审计。如：用户可以自定义漏洞的级别，添加T0P10级别能支持对问题进行人工审计批注和注释，可根据批注状态来划分结果。系统能够在WEB界面明确上罗列出分析引擎分析过的项目文件列表，统一查看，方便用户对分析结果的全面性和有效性进行验证。能支持安全问题的查询和过滤功能，方便审计人员针对某一特定条件进行精准查询，对满足条件的漏洞进行统一快速审计和标注能够方便漏洞审计，产品审计界面上安全漏洞名称必须为中文能够支持对项目的两次测试结果的比较报告，并罗列审计状态的比较和计算出千行漏洞率。提供详细的中文安全漏洞说明和修复建议，且该内容可以进行用户自定义和补充，即：用户可以自定义漏洞的解释说明和修复建议，方便用户分享系统修复方案。提供最佳修复点在漏洞处理工作中，将人工梳理源码问题的流程到程序自动化定位关键问题的一个重要升级。对于问题修复，以图形化的形式快捷展现一组漏洞执行流程的关联关系，通过源码归纳函数或方法的调用来定位核心问题，能最直观的反映漏洞的概要原理和爆发的准确位置，十分有利于开发人员对大量漏洞来实施紧急修复和系统性处理工作。*测试管理功能WEB界面上提供测试项目、测试结果，测试日志、测试版本等信息的管理功能，能够根据项目名称和项目版本进行多次测试结果的细分管理。可以对项目进行添加，删除，修改，查看，搜索等功能。WEB界面上提供角色和权限管理功能。不同角色应有不同和权限。可以支持对用户的组织架构实现多个部门到多个项目组，多个项目的三个层级的用户和权限管理。包括系统管理员，部门管理员，安全审计员，测试员，查看员5级权限。

提供安全测试标准或基线管理功能，方便用户将企业的安全测试标准、基线进行在产品的web平台上发布和推广。提供测试引擎的参数设置功能，方便用户根据不对测试对象进行参数优化，优化参数的方法直接勾选方式即可以便提供测试效率。能够支持全中文化的报告，报告中必须能够清楚地提供漏洞的详细情况，包括漏洞产生的全部路径。方便用户根据报告来查看漏洞，修复漏洞。能够与主流的版本控制系统，SVN,GIT，能够与漏洞管理系统ALM,TFS进行集成。方便用户使用。#安全评分评级该测提供对项目结果进行评分评级功能，出具评分评级报告。用户可以根据项目的重要性，漏洞的级别，漏洞审计的结果等因素对评分进行权重设计，自定义各项评分因子。#安全知识分享提供知识分享平台，用户可以方便查看、学习各个开发语言的安全漏洞知识，提高安全开发水平。冋时支持用户对漏洞知识的内容进行自定义，添加或补充用户自身总结的安全漏洞解释和修复方法，方便新技术人员快速学习相关知识和经验。同时安全知识平台上的漏洞解释和修复方法等内容与漏洞审计界面的相关信息同步，实现统一管理。#安全测试标准（基线）发布提供安全测试标准/基线的制定与发布功能，将用户制定出来的安全测试标准或基线以头文件形式在平台中发布，罗列相关漏洞检查点，方便技术人员及时查看相关标准要求。#计费管理功能能够提供测试的计费管理功能。可以对用户账号充费，可以设置充值金额，同时也可以对单次测试的收费额度进行设置。方便用户针对安全测试进行内部核算或者绩效考核。#并发扫描支持多个项目并发扫描。检测引擎应能够分布式部署，可在多台机器（或虚拟机器）上部署检测引擎来扩展并发测试能力。可以实现并发扫描任务数无限。测试统计能够根据用户指定的时间范围，统计出各个项目的测试结果信息，包括每一个项目的每一次测试结果的各个级别的漏洞数，分布比例能够根据用户指定的统计范围，如：部门，项目组，项目来统计指定的时间范围的所有测试结果信息，包括漏洞数，分布比例等。产品形态该产品必须以纯软件形态交付，方便用户后期的扩展，维护，更新和升级工作。

工具出具的报告可以满足用户个性化定制的要求，可以添