POC需求报告---代码审计

有限公司信息部XXX“数据中心安全平台建设一代码审计系统项目”需求报告2023-1-19首次发布1/19/2023最终修订

1.文档说明

1.

1.编写目的

1.

2.预期读者

1.

3.术语与缩写说明

2.运用范围错误!未定义书签

3.需求调研报告错误!未定义书签

4.需求汇总文档说明1-编写目的

1.

1.本文档是中心平安平台建设一代码审计系统项目的需求调研报告，文中详尽说明白业务部门提出的项目需求本文档是项目组进行需求分析的依据，也是明确项目目标和项目范围，进行系统设计的基础预期读者

1.

2.本文档的预期读者为源代码审计项目的业务部门、项目组成员、项目经理、评审组，用来对项目组所调研的业务需求进行审核确认并达成共识术语与缩写说明

1.

3.1项目总体需求本项目作为局方20232023平安实力建设项目《XX公司信息平安风险管理探讨》的〜组成之一，旨在建设代码审计系统，通过检查源代码中的缺点和错误信息,分析并找到平安漏洞，供应代码修订措施和建议，从而在系统开发阶段/运维阶段进行深化的问题查找和歼灭，融合平安开发生命周期的管理流程，逐步推动XX中心平安生命周期及平安开发规范的落地实现2代码平安审计引擎建设需求

1、参加本项目的代码审计系统产品须具有国家版权局颁发的软件著作权登记证书，且须满意以下两点中至少一点需求描述1入围Gartner2023Magic Quadrantfor ApplicationSecurity Testing的产品；2经XXX我公司本地POC验证，检测实力、误报率、产品性能等指标不低于Gartner2023Magic Quadrantfor ApplicationSecurity Testing〉入围产产品的其他国产产品，并须由供应商证明产品的核心技术、整体软件国产化，属于自主可控国产产品

2、代码审计工具引擎技术与功能要求1支持对JAVA,JSP,C,C++,PHP,ASP,C#,JavaScript,VBScript,Python,HTML,,XML等十几开发语言的平安漏洞的检查，能够检测出约1000种漏洞并将全部平安漏洞系统地整理并依据漏洞的表现形式，形成缘由和危害程序进行科学地分类，共分为“输入验证、API误用、质量性能、异样处理、代码规范、平安限制、环境配置、信息封装”、“国内特色”9个大类,然后依据开发语言的不同，在结合国际漏洞标准组织CWE的漏洞学问库进行细分和命名，目前约1000个子类2该检测系统的云服务支持在Windows和Liunx两种系统平台上部署其分析引擎可以通过分布式的部署方式可以将不同开发平台，如Windows,Linux,Unix,Mac OS上不同语言的开发项目进行统计测试3检测引擎可支持多个项目并发扫描检测引擎应能够分布式部署，可在多台机器或虚拟机器上集群式部署检测引擎来扩展并发测试实力如检测引擎部署在10测试机上，支持20个测试项目同时检查支持页面对集群机器的集中维护和启停4须涵盖CVE、CWE、OWASP Top

10、WASC四种平安标准中至少两种标准在上述标准的基础上实现支持检测缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危急函数等缺陷检测支持对数据流、语义、限制流、配置、代码结果等多维角度进行分析，具备较高的检测实力并具备较低的误报水平5为用户供应企业级的平安测试管理功能，用户可以通过WEB的方式进行项目管理，平安测试，结果查看，协同审计，出具报表等多项工作6支持漏洞代码关联分析与定位，能够快速定位某一特定平安问题所在的源代码行，对问题产生的整个过程进行跟踪，展示漏洞产生的全过程供应漏洞具体的描述及解决方案，便利分析和修复7支持对问题处理的每一个动作进行记录，并须支持漏洞的查询过滤，能与之前审计结果进行合并，削减工作量8源代码平安检测无缝集成于开发测试流程，供应API并完成与用户邮件系统、软件研发中心SVN、Git版本管理工具的集成联动，代码审计工具可从代码版本管理系统中自动复制获得提交更新的独立版本源代码可依据需求配置需同步的版本节点，且不影响版本管理工具中存储的任何文件），代码审计工具自动发起扫描任务进行代码审计检测，实现代码自动上传、代码平安扫描、自动分析、邮件通知、平安漏洞缺陷导入、跟踪和统计分析等任务自动化9代码审计分析与处理过程在服务端进行，对用户本地计算资源无占用服务端具备高效的审计分析实力，支持百万行级的代码项目审计，且平均速度不低于1万行/分钟对于多任务并发须支持任务的集中统一管理，并能够对多任务自动进行批量处理10）支持检测代码中是否引用的开源代码模块，并检测开源模块中是否存在平安漏洞，最大程度降低开源代码引入的平安风险（加分项）11）支持与漏洞扫描工具集成联动，对扫描工具检测到的问题，依据程序的流程记录漏洞产生的程序的执行过程，定位到对应的源代码（加分项）12具备漏洞问题自动划分优先级，依据问题的严峻性和可能性进行威逼级别的划分，如危急、高、中、低等多个级别，须集成完善的漏洞分级标准和定义库，支持对源代码平安缺陷扫描结果进行分类分级汇总13）能够支持通过阅读器方式远程查看和审计测试结果，查看漏洞点及产生过程信息能支持平安问题的查询和过滤功能，便利审计人员针对某一特定条件进行精准查询，对满意条件的漏洞进行统一审计和标注14）能够支持对项目的两次测试结果的比较报告，并排列审计状态的比较和计算出漏洞修复率15）用户能够依据企业自身须要来调整和修改问题的默认分级策略，便利审计如用户可以自定义漏洞的级别，添加T0P10级别16）支持输出包括HTML、PDF、EXCEL等多种格式的检测报告，报告内容可对缺陷等级、缺陷类型、修复建议、跟踪路径依据需求进行配置缺陷报告应可依据不用的用户角色生成管理人员报告与开发人员报告管理人员报告主要包括缺陷等级及缺陷类型等基本统计信息，开发人员报告除了包括缺陷等级及缺陷类型等基本统计信息外，还应包括缺陷分类、缺陷描述、修复建议、风险点、缺陷跟踪信息等具体信息17该测试系统供应学问共享平台，用户可以便利查看、学习各个开发语言的平安漏洞学问，提高平安开发水平同时支持用户对漏洞学问进行自定义，添加或补充用户自身总结的平安漏洞阅历18该测试系统供应对项目结果进行评分功能，用户可以依据项目的重要性，漏洞的级别，漏洞审计的结果等因素对评分进行权重设计，自定义各项评分因子，并依据用户自定义产生评分评级报告19该测试系统供应测试的标准或基线管理功能，便利用户将企业的平安测试标准、基线进行发布和推广

3、漏洞管理功能与技术要求1管理功能实现对代码审计工具引擎的运用调度与管理，须为基于企业云部署方式，集群式架构，可分布式处理多用户、多任务的测试需求支持无限扩展并发测试任务数，测试性能强大，稳定能够实现扫描任务发起、漏洞通告、跟踪和统计分析等任务的自动化，实现XX公司平安生命周期的落地2该测试系统的用户角色应分为系统管理员，管理员，平安审计员，平安测试员，漏洞查看员五个不同有角色，便利用户依据项目测试的实际状况组合运用3支持日志功能，每次扫描均须日志记录，记录内容包括但不仅限于扫描的对象、扫描起先时间、完成时间、发起人员、扫描结果状况等4支持展示每一个源代码缺陷分析任务的相关信息，信息应包括任务名称、开发语言、发起时间、完成时间、检测状态、缺陷总数、等级分布以及创建者信息5支持展示每一个源代码缺陷分析任务所检测的对象文件列表、测试过程的分析引擎日志，便利用户查看是否存在测试不完整或测试不正确的状况6该测试系统应能够供应测试的计费管理功能可以对用户账号充费，可以设置充值金额，同时也可以对单次测试的收费额度进行设置7支持依据多种条件对源代码缺陷分析任务进行查询8支持对测试任务的相关状况进行报表统计与管理，查询与生成报表的条件包括但不仅限于测试时间，部门、项目级、开发语言、测试人员等，统计的结果包括但不限于测试状态、测试的漏洞总数、严峻漏洞数等内容并以报表形式导出3其他需求

1、供应商须为原厂或须具备原厂授权的总代理或行业金牌代理资质

2、供应商需供应至少一年的维保服务，服务期内免费供应代码审计系统版本、检测规则、管理平台的升级与相关维保服务

2.需求汇总提示经过多次调研将最终确定的需求分类汇总于此表需求等是否可实编号需求项具体描述需求来源备注级现

1.功能需求代码平安审计引

1.1必需是擎建设需求

1.

21.

31.

42.性能需求

2.

12.

22.

32.

43.平安需求

3.

13.

23.

33.

44.管理需求漏洞管理功能与

4.1必需是技术要求

4.

24.

34.

45.供应商需求

5.1必需是

5.

25.

35.

46.售后服务需求

6.

16.

26.

36.

47.OOOOOO

7.

17.

27.

37.4注完成需求的调研和汇总后，通过流程由需求方进行确认技术评审会上依据设计方案对需求的可实现程度进行进一步确认，说明哪些需求可实现，哪些需求不行实现。