POC需求报告---代码审计).docx

XXX有限公司信息部
“数据中心安全平台建设--代码审计系统项目”需求报告
首次发布:2017-1-19
最后修订:1/19/2017
目录
1. 文档说明 2
. 编写目的 2
. 预期读者 2
. 术语与缩写解释 2
2. 使用范围 2
3. 需求调研报告 3
4. 需求汇总 7
文档说明
编写目的
本文档是中心安全平台建设--代码审计系统项目的需求调研报告,文中详尽说明了业务部门提出的项目需求。本文档是项目组进行需求分析的依据,也是明确项目目标和项目范围,进行系统设计的基础。
预期读者
本文档的预期读者为源代码审计项目的业务部门、项目组成员、项目经理、评审组,用来对项目组所调研的业务需求进行审核确认并达成共识。
术语与缩写解释
无
需求描述
项目总体需求
本项目作为局方2017~2018安全能力建设项目《XX公司信息安全风险管理研究》的组成之一,旨在建设代码审计系统,通过检查源代码中的缺点和错误信息,分析并找到安全漏洞,提供代码修订措施和建议,从而在系统开发阶段/运维阶段进行深入的问题查找和消灭,融合安全开发生命周期的管理流程,逐步推进XX中心安全生命周期及安全开发规范的落地实现。
代码安全审计引擎建设需求
参与本项目的代码审计系统产品须具有证书,且须满足以下两点中至少一点:
入围Gartner <2015 Magic Quadrant for Application Security Testing>的产品;
经XXX我公司本地POC验证,检测能力、误报率、产品性能等指标不低于Gartner <2015 Magic Quadrant for Application Security Testing>入围产产品的其他国产产品,并须由供应商证明产品的核心技术、整体软件国产化,属于自主可控国产产品。
代码审计工具(引擎)技术与功能要求:
支持对JAVA, JSP, C,C++,PHP, ASP, C#, JavaScript,VBScript,Python,HTML,,XML
等十几开发语言的安全漏洞的检查,能够检测出约1000种漏洞。并将所有安全漏洞系统地整理并依据漏洞的表现形式,形成原因和危害程序进行科学地分类,共分为“输入验证、API 误用、质量性能、异常处理、代码规范、安全控制、环境配置、信息封装”、“国内特色”9个大类,然后根据开发语言的不同,在结合国际漏洞标准组织CWE的漏洞知识库进行细分和命名,目前约1000个子类。
该检测系统的云服务支持在Windows和Liunx两种系统平台上部署。其分析引擎可以通过分布式的部署方式可以将不同开发平台,如Windows,Linux, Unix , Mac OS上不同语言的开发项目进行统计测试。
检测引擎可支持多个项目并发扫描。检测引擎应能够分布式部署,可在多台机器(或虚拟机器)上集群式部署检测引擎来扩展并发测试能力。如:检测引擎部署在10测试机上,支持20个测试项目同时检查。支持页面对集群机器的集中维护和启停。
须涵盖CVE、CWE、OWASP Top 10、WASC四种安全标准中至少两种标准。在上述标准的基础上实现支持检测缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配