POC需求報(bào)告---代碼審計(jì)

1、XXX限公司信息部“數(shù)據(jù)中心安全平臺(tái)建設(shè)-代碼審計(jì)系統(tǒng)項(xiàng) 目”需求報(bào)告首次發(fā)布：2017-1-19最后修訂：1/19/20171.2.3.4.文檔說明 21.1. 編寫目的21.2. 預(yù)期讀者21.3. 術(shù)語與縮寫解釋2使用范圍 錯(cuò)誤!未定義書簽。需求調(diào)研報(bào)告 錯(cuò)誤!未定義書簽。需求匯總 61、需求描述1)2)2、1)1 .文檔說明1.1. 編寫目的本文檔是中心安全平臺(tái)建設(shè) -代碼審計(jì)系統(tǒng)項(xiàng)目的需求調(diào)研報(bào)告，文中詳盡說明了業(yè)務(wù)部門提出的項(xiàng) 目需求。本文檔是項(xiàng)目組進(jìn)行需求分析的依據(jù)，也是明確項(xiàng)目目標(biāo)和項(xiàng)目范圍，進(jìn)行系統(tǒng)設(shè)計(jì)的基礎(chǔ)。1.2. 預(yù)期讀者本文檔的預(yù)期讀者為源代碼審計(jì)項(xiàng)目的業(yè)務(wù)部門、項(xiàng)目

2、組成員、項(xiàng)目經(jīng)理、評審組，用來對項(xiàng)目組所調(diào)研的業(yè)務(wù)需求進(jìn)行審核確認(rèn)并達(dá)成共識(shí)。1.3. 術(shù)語與縮寫解釋1 項(xiàng)目總體需求本項(xiàng)目作為局方 20172018安全能力建設(shè)項(xiàng)目XX公司信息安全風(fēng)險(xiǎn)管理研究的組成之一，旨在建設(shè)代碼審計(jì)系統(tǒng)，通過檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，分析并找到安全漏洞，提供代碼修訂措施和建議，從而在系統(tǒng)開發(fā)階段/運(yùn)維階段進(jìn)行深入的問題查找和消滅，融合安全開發(fā)生命周期的管理流程，逐步推進(jìn)XX中心安全生命周期及安全開發(fā)規(guī)范的落地實(shí)現(xiàn)。2 代碼安全審計(jì)引擎建設(shè)需求參與本項(xiàng)目的代碼審計(jì)系統(tǒng)產(chǎn)品須具有國家版權(quán)局頒發(fā)的軟件著作權(quán)登記證書，且須滿足以下兩點(diǎn)中至少一點(diǎn)：入圍 Gartner <

3、;2015 Magic Quadrant for Application SecurityTesting>的產(chǎn)品；經(jīng)XXX我公司本地POC驗(yàn)證，檢測能力、誤報(bào)率、產(chǎn)品性能等指標(biāo)不低于Gartner <2015 Magic Quadrant for Application Security Testing>入圍產(chǎn)產(chǎn)品的其他國產(chǎn)產(chǎn)品，并須由供應(yīng)商證明產(chǎn)品的核心技術(shù)、整體軟件國產(chǎn)化，屬于自主可控國產(chǎn)產(chǎn)品。代碼審計(jì)工具(引擎)技術(shù)與功能要求：支持對 JAVA JSP, C, C+, PHP ASP, C#, JavaScript , VBScript ,Python , HTML,

4、XML等十幾開發(fā)語言的安全漏洞的檢查，能夠檢測出約1000種漏洞。并將所有安全漏洞系統(tǒng)地整理并依據(jù)漏洞的表現(xiàn)形式，形成原因和危害程序進(jìn)行科學(xué)地分類，共分為“輸入驗(yàn)證、API誤用、質(zhì)量性能、異常處理、代碼規(guī)范、安全控制、環(huán)境配置、信息封裝”、“國內(nèi)特色” 9個(gè)大類， 然后根據(jù)開發(fā)語言的不同，在結(jié)合國際漏洞標(biāo)準(zhǔn)組織CWE的漏洞知識(shí)庫進(jìn)行細(xì)分和命名，目前約 1000個(gè)子類。2) 該檢測系統(tǒng)的云服務(wù)支持在Windows和Liunx兩種系統(tǒng)平臺(tái)上部署。其分析引擎可以通過分布式的部署方式可以將不同開發(fā)平臺(tái)，如Windows,Linux , Unix , Mac OS 上不同語言的開發(fā)項(xiàng)目進(jìn)行統(tǒng)計(jì)測試。3)

5、 檢測引擎可支持多個(gè)項(xiàng)目并發(fā)掃描。檢測引擎應(yīng)能夠分布式部署，可在多臺(tái)機(jī)器(或虛擬機(jī)器)上集群式部署檢測引擎來擴(kuò)展并發(fā)測試能力。如：檢測引擎部署在10測試機(jī)上，支持 20個(gè)測試項(xiàng)目同時(shí)檢查。支持頁面對集群 機(jī)器的集中維護(hù)和啟停。4) 須涵蓋CVE CWE OWASP Top 10 WAS刎種安全標(biāo)準(zhǔn)中至少兩種標(biāo)準(zhǔn)。在 上述標(biāo)準(zhǔn)的基礎(chǔ)上實(shí)現(xiàn)支持檢測緩沖區(qū)溢出、代碼注入、跨站腳本、輸入驗(yàn)證、API誤用、密碼管理、配置錯(cuò)誤、危險(xiǎn)函數(shù)等缺陷檢測。支持對數(shù)據(jù)流、 語義、控制流、配置、代碼結(jié)果等多維角度進(jìn)行分析，具備較高的檢測能力并具備較低的誤報(bào)水平。5) 為用戶提供企業(yè)級(jí)的安全測試管理功能，用戶可以通過W

6、EB的方式進(jìn)行項(xiàng)目管理，安全測試，結(jié)果查看，協(xié)同審計(jì)，出具報(bào)表等多項(xiàng)工作。6) 支持漏洞代碼關(guān)聯(lián)分析與定位，能夠迅速定位某一特定安全問題所在的源代碼行，對問題產(chǎn)生的整個(gè)過程進(jìn)行跟蹤，展示漏洞產(chǎn)生的全過程。提供漏洞詳細(xì)的描述及解決方案，方便分析和修復(fù)。7) 支持對問題處理的每一個(gè)動(dòng)作進(jìn)行記錄，并須支持漏洞的查詢過濾，能與之前審計(jì)結(jié)果進(jìn)行合并，減少工作量。8) 源代碼安全檢測無縫集成于開發(fā)測試流程，提供API并完成與用戶郵件系統(tǒng)、軟件研發(fā)中心 SVN Git版本管理工具的集成聯(lián)動(dòng)，代碼審計(jì)工具可從 代碼版本管理系統(tǒng)中自動(dòng)復(fù)制獲取提交更新的獨(dú)立版本源代碼(可按照需求配置需同步的版本節(jié)點(diǎn)，且不影響版本

7、管理工具中存儲(chǔ)的任何文件)，代碼審計(jì)工具自動(dòng)發(fā)起掃描任務(wù)進(jìn)行代碼審計(jì)檢測，實(shí)現(xiàn)代碼自動(dòng)上傳、 代碼安全掃描、自動(dòng)分析、郵件通知、安全漏洞缺陷導(dǎo)入、 跟蹤和統(tǒng)計(jì)分析等任 務(wù)自動(dòng)化。9) 代碼審計(jì)分析與處理過程在服務(wù)端進(jìn)行，對用戶本地計(jì)算資源無占用。服務(wù)端具備高效的審計(jì)分析能力，支持百萬行級(jí)的代碼項(xiàng)目審計(jì)，且平均速度不低于1萬行/分鐘。對于多任務(wù)并發(fā)須支持任務(wù)的集中統(tǒng)一管理，并能夠?qū)?多任務(wù)自動(dòng)進(jìn)行批量處理。10) 支持檢測代碼中是否引用的開源代碼模塊，并檢測開源模塊中是否存在安全漏洞，最大程度降低開源代碼引入的安全風(fēng)險(xiǎn)(加分項(xiàng))。11) 支持與漏洞掃描工具集成聯(lián)動(dòng)，對掃描工具檢測到的問題， 根據(jù)

8、程序的流程記錄漏洞產(chǎn)生的程序的執(zhí)行過程，定位到對應(yīng)的源代碼(加分項(xiàng))。12) 具備漏洞問題自動(dòng)劃分優(yōu)先級(jí)，按照問題的嚴(yán)重性和可能性進(jìn)行威脅級(jí)別 的劃分，如危險(xiǎn)、高、中、低等多個(gè)級(jí)別，須集成完善的漏洞分級(jí)標(biāo)準(zhǔn)和定 義庫，支持對源代碼安全缺陷掃描結(jié)果進(jìn)行分類分級(jí)匯總。13) 能夠支持通過瀏覽器方式遠(yuǎn)程查看和審計(jì)測試結(jié)果，查看漏洞點(diǎn)及產(chǎn)生過 程信息。能支持安全問題的查詢和過濾功能，方便審計(jì)人員針對某一特定條件進(jìn)行精準(zhǔn)查詢，對滿足條件的漏洞進(jìn)行統(tǒng)一審計(jì)和標(biāo)注。14) 能夠支持對項(xiàng)目的兩次測試結(jié)果的比較報(bào)告，并羅列審計(jì)狀態(tài)的比較和計(jì) 算出漏洞修復(fù)率。15) 用戶能夠根據(jù)企業(yè)自身需要來調(diào)整和修改問題的默認(rèn)

9、分級(jí)策略， 方便審計(jì)。如：用戶可以自定義漏洞的級(jí)別，添加TOP10®別。16) 支持輸出包括HTML PDR EXCELlf種格式的檢測報(bào)告，報(bào)告內(nèi)容可對缺陷等級(jí)、缺陷類型、修復(fù)建議、跟蹤路徑根據(jù)需求進(jìn)行配置。缺陷報(bào)告應(yīng)可 依據(jù)不用的用戶角色生成管理人員報(bào)告與開發(fā)人員報(bào)告。管理人員報(bào)告主 要包括缺陷等級(jí)及缺陷類型等基本統(tǒng)計(jì)信息，開發(fā)人員報(bào)告除了包括缺陷等級(jí)及缺陷類型等基本統(tǒng)計(jì)信息外，還應(yīng)包括缺陷分類、缺陷描述、修復(fù)建議、風(fēng)險(xiǎn)點(diǎn)、缺陷跟蹤信息等詳細(xì)信息。17)該測試系統(tǒng)提供知識(shí)分享平臺(tái)，用戶可以方便查看、學(xué)習(xí)各個(gè)開發(fā) 語言的安全漏洞知識(shí)，提高安全開發(fā)水平。同時(shí)支持用戶對漏洞知 識(shí)進(jìn)行自

10、定義，添加或補(bǔ)充用戶自身總結(jié)的安全漏洞經(jīng)驗(yàn)。18) 該測試系統(tǒng)提供對項(xiàng)目結(jié)果進(jìn)行評分功能，用戶可以根據(jù)項(xiàng)目的重要性，漏洞的級(jí)別，漏洞審計(jì)的結(jié)果等因素對評分進(jìn)行權(quán)重設(shè)計(jì)，自定義各項(xiàng)評分因子，并根據(jù)用戶自定義產(chǎn)生評分評級(jí)報(bào)告。19) 該測試系統(tǒng)提供測試的標(biāo)準(zhǔn)或基線管理功能，方便用戶將企業(yè)的安全測試 標(biāo)準(zhǔn)、基線進(jìn)行發(fā)布和推廣。3、漏洞管理功能與技術(shù)要求：1) 管理功能實(shí)現(xiàn)對代碼審計(jì)工具(引擎)的使用調(diào)度與管理， 須為基于企業(yè)云部署方式，集群式架構(gòu)，可分布式處理多用戶、 多任務(wù)的測試需求。 支持無 限擴(kuò)展并發(fā)測試任務(wù)數(shù)，測試性能強(qiáng)大，穩(wěn)定。能夠?qū)崿F(xiàn)掃描任務(wù)發(fā)起、漏洞通告、跟蹤和統(tǒng)計(jì)分析等任務(wù)的自動(dòng)化，

11、實(shí)現(xiàn)XX公司安全生命周期的落地。2) 該測試系統(tǒng)的用戶角色應(yīng)分為系統(tǒng)管理員，管理員，安全審計(jì)員，安全測試員，漏洞查看員五個(gè)不同有角色，方便用戶根據(jù)項(xiàng)目測試的實(shí)際情況組合使用。3) 支持日志功能，每次掃描均須日志記錄， 記錄內(nèi)容包括但不僅限于： 掃描的對象、掃描開始時(shí)間、完成時(shí)間、發(fā)起人員、掃描結(jié)果情況等。4) 支持展示每一個(gè)源代碼缺陷分析任務(wù)的相關(guān)信息，信息應(yīng)包括任務(wù)名稱、開發(fā)語言、發(fā)起時(shí)間、完成時(shí)間、檢測狀態(tài)、缺陷總數(shù)、等級(jí)分布以及創(chuàng)建者 信息。5) 支持展示每一個(gè)源代碼缺陷分析任務(wù)所檢測的對象(文件列表) 、測試過程的分析引擎日志，方便用戶查看是否存在測試不完整或測試不正確的情況。6) 該

12、測試系統(tǒng)應(yīng)能夠提供測試的計(jì)費(fèi)管理功能?？梢詫τ脩糍~號(hào)充費(fèi)， 可以設(shè)置充值金額，同時(shí)也可以對單次測試的收費(fèi)額度進(jìn)行設(shè)置。7) 支持根據(jù)多種條件對源代碼缺陷分析任務(wù)進(jìn)行查詢。8) 支持對測試任務(wù)的相關(guān)情況進(jìn)行報(bào)表統(tǒng)計(jì)與管理，查詢與生成報(bào)表的條件包括但不僅限于：測試時(shí)間，部門、項(xiàng)目級(jí)、開發(fā)語言、測試人員等，統(tǒng)計(jì)的結(jié)果包括但不限于： 測試狀態(tài)、測試的漏洞總數(shù)、 嚴(yán)重漏洞數(shù)等內(nèi)容。 并 以報(bào)表形式導(dǎo)出。3 其他需求1、 供應(yīng)商須為原廠或須具備原廠授權(quán)的總代理或行業(yè)金牌代理資質(zhì)。2、 供應(yīng)商需提供至少一年的維保服務(wù)，服務(wù)期內(nèi)免費(fèi)提供代碼審計(jì)系統(tǒng)版本、檢測規(guī)則、管理平臺(tái)的升級(jí)與相關(guān)維保服務(wù)。2.需求匯總提示：經(jīng)過多次調(diào)研將最終確定的需求分類匯總于此表。編R需求項(xiàng)具體描述需求等級(jí)需求來源是否可實(shí)現(xiàn)備注1.功能需求1.1代碼安全審計(jì)引擎建設(shè)需求必須是1.21.31.42.性能需求2.12.22.32