返回
POC需求报告---代码审计).docx

POC需求报告---代码审计).docx

ID:53279875

大小:54.99 KB

页数:9页

时间:2020-04-02

POC需求报告---代码审计).docx_第1页
POC需求报告---代码审计).docx_第2页
POC需求报告---代码审计).docx_第3页
POC需求报告---代码审计).docx_第4页
POC需求报告---代码审计).docx_第5页
资源描述:

《POC需求报告---代码审计).docx》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、XXX有限公司信息部“数据中心安全平台建设--代码审计系统项目”需求报告首次发布:2017-1-19最后修订:1/19/2017目录1.文档说明21.1.编写目的21.2.预期读者21.3.术语与缩写解释22.使用范围23.需求调研报告34.需求汇总7文档说明1.1.编写目的本文档是中心安全平台建设--代码审计系统项目的需求调研报告,文中详尽说明了业务部门提出的项目需求。本文档是项目组进行需求分析的依据,也是明确项目目标和项目范围,进行系统设计的基础。1.2.预期读者本文档的预期读者为源代码审计项目的业务部门、项目组成员、项目经理、评审组,用来对项目组所调研的

2、业务需求进行审核确认并达成共识。1.3.术语与缩写解释无需求描述1项目总体需求本项目作为局方2017~2018安全能力建设项目《XX公司信息安全风险管理研究》的组成之一,旨在建设代码审计系统,通过检查源代码中的缺点和错误信息,分析并找到安全漏洞,提供代码修订措施和建议,从而在系统开发阶段/运维阶段进行深入的问题查找和消灭,融合安全开发生命周期的管理流程,逐步推进XX中心安全生命周期及安全开发规范的落地实现。2代码安全审计引擎建设需求1、参与本项目的代码审计系统产品须具有国家版权局颁发的软件著作权登记证书,且须满足以下两点中至少一点:1)入围Gartner<20

3、15MagicQuadrantforApplicationSecurityTesting>的产品;2)经XXX我公司本地POC验证,检测能力、误报率、产品性能等指标不低于Gartner<2015MagicQuadrantforApplicationSecurityTesting>入围产产品的其他国产产品,并须由供应商证明产品的核心技术、整体软件国产化,属于自主可控国产产品。2、代码审计工具(引擎)技术与功能要求:1)支持对JAVA,JSP,C,C++,PHP,ASP,C#,JavaScript,VBScript,Python,HTML,,XML等十几开发语言的

4、安全漏洞的检查,能够检测出约1000种漏洞。并将所有安全漏洞系统地整理并依据漏洞的表现形式,形成原因和危害程序进行科学地分类,共分为“输入验证、API误用、质量性能、异常处理、代码规范、安全控制、环境配置、信息封装”、“国内特色”9个大类,然后根据开发语言的不同,在结合国际漏洞标准组织CWE的漏洞知识库进行细分和命名,目前约1000个子类。1)该检测系统的云服务支持在Windows和Liunx两种系统平台上部署。其分析引擎可以通过分布式的部署方式可以将不同开发平台,如Windows,Linux,Unix,MacOS上不同语言的开发项目进行统计测试。2)检测引擎

5、可支持多个项目并发扫描。检测引擎应能够分布式部署,可在多台机器(或虚拟机器)上集群式部署检测引擎来扩展并发测试能力。如:检测引擎部署在10测试机上,支持20个测试项目同时检查。支持页面对集群机器的集中维护和启停。3)须涵盖CVE、CWE、OWASPTop10、WASC四种安全标准中至少两种标准。在上述标准的基础上实现支持检测缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等缺陷检测。支持对数据流、语义、控制流、配置、代码结果等多维角度进行分析,具备较高的检测能力并具备较低的误报水平。4)为用户提供企业级的安全测试管理功能,用户

6、可以通过WEB的方式进行项目管理,安全测试,结果查看,协同审计,出具报表等多项工作。5)支持漏洞代码关联分析与定位,能够迅速定位某一特定安全问题所在的源代码行,对问题产生的整个过程进行跟踪,展示漏洞产生的全过程。提供漏洞详细的描述及解决方案,方便分析和修复。6)支持对问题处理的每一个动作进行记录,并须支持漏洞的查询过滤,能与之前审计结果进行合并,减少工作量。7)源代码安全检测无缝集成于开发测试流程,提供API并完成与用户邮件系统、软件研发中心SVN、Git版本管理工具的集成联动,代码审计工具可从代码版本管理系统中自动复制获取提交更新的独立版本源代码(可按照需求

7、配置需同步的版本节点,且不影响版本管理工具中存储的任何文件),代码审计工具自动发起扫描任务进行代码审计检测,实现代码自动上传、代码安全扫描、自动分析、邮件通知、安全漏洞缺陷导入、跟踪和统计分析等任务自动化。1)代码审计分析与处理过程在服务端进行,对用户本地计算资源无占用。服务端具备高效的审计分析能力,支持百万行级的代码项目审计,且平均速度不低于1万行/分钟。对于多任务并发须支持任务的集中统一管理,并能够对多任务自动进行批量处理。2)支持检测代码中是否引用的开源代码模块,并检测开源模块中是否存在安全漏洞,最大程度降低开源代码引入的安全风险(加分项)。3)支持与漏

8、洞扫描工具集成联动,对扫描工具检测到的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。