POC需求报告---代码审计(共9页).docx

精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
XXX有限公司 信系统中自动复制获取提交更新的独立版本源代码（可按照需求配置
精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
需同步的版本节点，且不影响版本管理工具中存储的任何文件）,代码审计工具自动发起扫描任务进行代码审计检测，实现代码自动上传、代码安全扫描、自动分析、邮件通知、安全漏洞缺陷导入、跟踪和统计分析等任务自动化。
代码审计分析与处理过程在服务端进行，对用户本地计算资源无占用。服务端具备高效的审计分析能力，支持百万行级的代码项目审计，且平均速度不低于1万行/分钟。对于多任务并发须支持任务的集中统一管理，并能够对多任务自动进行批量处理。
支持检测代码中是否引用的开源代码模块，并检测开源模块中是否存在安全漏洞，最大程度降低开源代码引入的安全风险（加分项）。
支持与漏洞扫描工具集成联动，对扫描工具检测到的问题，根据程序的流程记录漏洞产生的程序的执行过程，定位到对应的源代码（加分项）。
具备漏洞问题自动划分优先级，按照问题的严重性和可能性进行威胁级别的划分，如危险、高、中、低等多个级别，须集成完善的漏洞分级标准和定义库，支持对源代码安全缺陷扫描结果进行分类分级汇总。
能够支持通过浏览器方式远程查看和审计测试结果，查看漏洞点及产生过程信息。能支持安全问题的查询和过滤功能，方便审计人员针对某一特定条件进行精准查询，对满足条件的漏洞进行统一审计和标注。
能够支持对项目的两次测试结果的比较报告，并罗列审计状态的比较和计算出漏洞修复率。
用户能够根据企业自身需要来调整和修改问题的默认分级策略，方便审计。如：用户可以自定义漏洞的级别，添加TOP10级别。
支持输出包括HTML、PDF、EXCEL等多种格式的检测报告，报告内容可对缺陷等级、缺陷类型、修复建议、跟踪路径根据需求进行配置。缺陷报告应可依据不用的用户角色生成管理人员报告与开发人员报告。管理人员报告主要包括缺陷等级及缺陷类型等基本统计信息，开发人员报告除了包括缺陷等级及缺陷类型等基本统计信息外，还应包括缺陷分类、缺陷描述、修复建议、风险点、缺陷跟踪信息等详细信息。
精选优质文档-----倾情为你奉上
精选优质文档-----倾情为你奉上
专心---专注---专业
专心---专注---专业
精选优质文档-----倾情为你奉上
专心---专注---专业
该测试系统提供知识分享平台，用户可以方便查看、学习各个开发语言的安全漏洞知识，提高安全开发水平。同时支持用户对漏洞知识进行自定义，添加或补充用户自身总结的安全漏洞经验。
该测试系统提供对项目结果进行评分功能，用户可以根据项目的重要性，漏洞的级别，漏洞审计的结果等因素对评分进行权重设计，自定义各项评分因子，并根据用户自定义产生评分评级报告。
该测试系统提供测试的标准或基线管理功能，方便用户将企业的安全测试标准、基线进行发布和推广。
漏洞管理功能与技术要求：