POC需求报告---代码审计).docx

XXX信息部
“数据中央平安平台建设一代码审计系统项 目〞需求报告
首次发布：2022-1-19 最后修订：1/19/2022

I. 1,编為目的
2..使用范围
£求汇总

1・3・.术语打缩
9)
10)
11)
14)
求配置需同步的版本节点,且不影响版本治理工具中存储的任何文件〕,代
码审计•工具自动发起扫描任务进行代码审讣检测,实现代码自动上传、代码
平安扫描、自动分析、邮件通知、平安漏洞缺陷导入、跟踪和统计分析等任
务自动化.
代码审计分析与处理过程在效劳端进行,对用户本地il•
端具备高效的审计分析水平,支持百万行级的代码工程审计,且平均速度不
低于1万行/,并能够对
多任务自动进行批量处理.
支持检测代码中是否引用的开源代码模块,并检测开源模块中是否存在安
全漏洞,最大程度降低开源代码引入的平安风险〔加分项〕.
支持与漏洞扫描工具集成联动,对扫描工具检测到的问题,根据程序的流程
记录漏洞产生的程序的执行过程,定位到对应的源代码〔加分项〕O
具备漏洞问题自动划分优先级■根据问题的严重性和可能性进行威胁级别
的划分,如危险、高、中、低等多个级别,须集成完善的漏洞分级标准和定
义库,支持对源代码平安缺陷扫描结果进行分类分级汇总.
能够支持通过浏览器方式远程査看和审计测试结果,査看漏洞点及产生过
,方便审计人员针对某一特泄条
件进行精准査询,对满足条件的漏洞进行统一审计和标注.
能够支持对工程的两次测试结果的比拟报告,并罗列审计状态的比拟和计
算出漏洞修复率.
用户能够根据企业自身需要来调整和修改问题的默认分级策略,
:用户可以自定义漏洞的级别,添加TOP 10级别.
支持输出包括HTML、PDF、EXCEL等多种格式的检测报告,报告内容可
对缺陷等级、缺陷类型、修复建议、

告主要包括缺陷等级及缺陷类型等根本统计信息,开发人员报告除了包括
缺陷等级及缺陷类型等根本统计信息外,还应包括缺陷分类、缺陷描述、修
复建议、风险点、缺陷跟踪信息等详细信息.
17)
3、
1)
2)
3)
4)
5)
6)
7)
8)
该测试系统提供知识分孕平台,用户可以方便査看、学安漏洞知识,
识进行自定义,添加或补充用户自身总结的平安漏洞经验.
该测试系统提供对工程结果进行评分功能,用户可以根据工程的重要性,漏
洞的级别,漏洞审il•的结果等因素对评分进行权重设讣,自崔义各项评分因
子,并根据用户自；^^义产生评分评级报告.
该测试系统提供测试的标准或基线治理功能,方便用户将企业的平安测试
标准、基线进行发布和推广.
漏洞治理功能与技术要求:
治理功能实现对代码审讣工具〔引擎〕的使用调度与治理,须为基于企业云
部署方式,集群式架构,可分布式处理多用户、
限扩展并发测试任务数,测试性能强大,、漏洞
通告、跟踪和统计分析等任务的自动化,实现XX公司平安生命周期的落地.
该测试系统的用户角色应分为系统治理员,治理员,平安审计员,平安测试
员,漏洞査看员五个不同有角色,方便用户根拯工程测试的实际情况组合使
支持日志功能,毎次扫描均须日志记录,记录内容包括但不仅限于：扫描的
对象、、发起人员、扫描结果情况等.
支持展示每一个源代码缺陷分析任务的相关借息,信息应包括任务名称、开
发语言、发起时间、完成时间、检测状态、缺陷总数、等级分布以及创立者
信息.
支持展示每一个源代码缺陷分析任务所检测的对象〔文件列表〕、测试过程
的分析引擎日志,方便用户査看是否存在测试不完整或测试不正确的情况.
,可以设
宜充值金额,同时也可以对单次测试的收费额度进行设苣.
支持根据多种条件对源代码缺陷分析任务进行查询.
支持对测试任务的相关情况进行报表统计与