POC需求報(bào)告---代碼審計(jì)

1、XXX限公司信息部“數(shù)據(jù)中央平安平臺建設(shè)-代碼審計(jì)系統(tǒng)項(xiàng) 目需求報(bào)告首次發(fā)布：2021-1-19最后修訂：1/19/20211.2.3.4.文檔說明 21.1. 編寫目的21.2. 預(yù)期讀者21.3. 術(shù)語與縮寫解釋2使用范圍 錯(cuò)誤!未定義書簽.需求調(diào)研報(bào)告 錯(cuò)誤!未定義書簽.需求匯總 61、需求描述1)2)2、1)1 .文檔說明1.1. 編寫目的本文檔是中央平安平臺建設(shè) -代碼審計(jì)系統(tǒng)工程的需求調(diào)研報(bào)告,文中詳盡說明了業(yè)務(wù)部門提出的項(xiàng) 目需求.本文檔是工程組進(jìn)行需求分析的依據(jù),也是明確工程目標(biāo)和工程范圍,進(jìn)行系統(tǒng)設(shè)計(jì)的根底.1.2. 預(yù)期讀者本文檔的預(yù)期讀者為源代碼審計(jì)工程的業(yè)務(wù)部門、工程組

2、成員、工程經(jīng)理、評審組,用來對工程組所調(diào)研的業(yè)務(wù)需求進(jìn)行審核確認(rèn)并達(dá)成共識.1.3. 術(shù)語與縮寫解釋1 工程總體需求本工程作為局方 20212021平安水平建設(shè)工程?XX公司信息平安風(fēng)險(xiǎn)治理研究?的組成之一,旨在建設(shè)代碼審計(jì)系統(tǒng),通過檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息,分析并找到平安漏洞,提供代碼修訂舉措和建議,從而在系統(tǒng)開發(fā)階段/運(yùn)維階段進(jìn)行深入的問題查找和消滅,融合平安開發(fā)生命周期的治理流程,逐步推進(jìn)XX中心平安生命周期及平安開發(fā)標(biāo)準(zhǔn)的落地實(shí)現(xiàn).2 代碼平安審計(jì)引擎建設(shè)需求參與本工程的代碼審計(jì)系統(tǒng)產(chǎn)品須具有國家版權(quán)局頒發(fā)的軟件著作權(quán)登記證書,且須滿足以下兩點(diǎn)中至少一點(diǎn)：入圍 Gartner 的產(chǎn)

3、品；經(jīng)XXX我公司本地POC驗(yàn)證,檢測水平、誤報(bào)率、產(chǎn)品性能等指標(biāo)不低于Gartner 入圍產(chǎn)產(chǎn)品的其他國產(chǎn)產(chǎn)品,并須由供給商證實(shí)產(chǎn)品的核心技術(shù)、整體軟件國產(chǎn)化,屬于自主可控國產(chǎn)產(chǎn)品.代碼審計(jì)工具(引擎)技術(shù)與功能要求：支持對 JAVA JSP, C, C+, PHP ASP, C#, JavaScript , VBScript ,Python , HTML, XML等十幾開發(fā)語言的平安漏洞的檢查,能夠檢測出約1000種漏洞.并將所有平安漏洞系統(tǒng)地整理并依據(jù)漏洞的表現(xiàn)形式,形成原因和危害程序進(jìn)行科學(xué)地分類,共分為“輸入驗(yàn)證、API誤用、質(zhì)量性能、異常處理、代碼標(biāo)準(zhǔn)、平安限制、環(huán)境配置、信息封裝

4、、“國內(nèi)特色 9個(gè)大類, 然后根據(jù)開發(fā)語言的不同,在結(jié)合國際漏洞標(biāo)準(zhǔn)組織CWE的漏洞知識庫進(jìn)行細(xì)分和命名,目前約 1000個(gè)子類.2) 該檢測系統(tǒng)的云效勞支持在Windows和Liunx兩種系統(tǒng)平臺上部署.其分析引擎可以通過分布式的部署方式可以將不同開發(fā)平臺,如Windows,Linux , Unix , Mac OS 上不同語言的開發(fā)工程進(jìn)行統(tǒng)計(jì)測試.3) 檢測引擎可支持多個(gè)工程并發(fā)掃描.檢測引擎應(yīng)能夠分布式部署,可在多臺機(jī)器(或虛擬機(jī)器)上集群式部署檢測引擎來擴(kuò)展并發(fā)測試水平.如：檢測引擎部署在10測試機(jī)上,支持 20個(gè)測試工程同時(shí)檢查.支持頁面對集群 機(jī)器的集中維護(hù)和啟停.4) 須涵蓋C

5、VE CWE OWASP Top 10 WAS刎種平安標(biāo)準(zhǔn)中至少兩種標(biāo)準(zhǔn).在 上述標(biāo)準(zhǔn)的根底上實(shí)現(xiàn)支持檢測緩沖區(qū)溢出、代碼注入、跨站腳本、輸入驗(yàn)證、API誤用、密碼治理、配置錯(cuò)誤、危險(xiǎn)函數(shù)等缺陷檢測.支持對數(shù)據(jù)流、 語義、限制流、配置、代碼結(jié)果等多維角度進(jìn)行分析,具備較高的檢測水平并具備較低的誤報(bào)水平.5) 為用戶提供企業(yè)級的平安測試治理功能,用戶可以通過WEB的方式進(jìn)行項(xiàng)目治理,平安測試,結(jié)果查看,協(xié)同審計(jì),出具報(bào)表等多項(xiàng)工作.6) 支持漏洞代碼關(guān)聯(lián)分析與定位,能夠迅速定位某一特定平安問題所在的源代碼行,對問題產(chǎn)生的整個(gè)過程進(jìn)行跟蹤,展示漏洞產(chǎn)生的全過程.提供漏洞詳細(xì)的描述及解決方案,方便分

6、析和修復(fù).7) 支持對問題處理的每一個(gè)動作進(jìn)行記錄,并須支持漏洞的查詢過濾,能與之前審計(jì)結(jié)果進(jìn)行合并,減少工作量.8) 源代碼平安檢測無縫集成于開發(fā)測試流程,提供API并完成與用戶郵件系統(tǒng)、軟件研發(fā)中央 SVN Git版本治理工具的集成聯(lián)動,代碼審計(jì)工具可從 代碼版本治理系統(tǒng)中自動復(fù)制獲取提交更新的獨(dú)立版根源代碼(可根據(jù)需求配置需同步的版本節(jié)點(diǎn),且不影響版本治理工具中存儲的任何文件),代碼審計(jì)工具自動發(fā)起掃描任務(wù)進(jìn)行代碼審計(jì)檢測,實(shí)現(xiàn)代碼自動上傳、 代碼平安掃描、自動分析、郵件通知、平安漏洞缺陷導(dǎo)入、 跟蹤和統(tǒng)計(jì)分析等任 務(wù)自動化.9) 代碼審計(jì)分析與處理過程在效勞端進(jìn)行,對用戶本地計(jì)算資源無

7、占用.效勞端具備高效的審計(jì)分析水平,支持百萬行級的代碼工程審計(jì),且平均速度不低于1萬行/分鐘.對于多任務(wù)并發(fā)須支持任務(wù)的集中統(tǒng)一治理,并能夠?qū)?多任務(wù)自動進(jìn)行批量處理.10) 支持檢測代碼中是否引用的開源代碼模塊,并檢測開源模塊中是否存在安全漏洞,最大程度降低開源代碼引入的平安風(fēng)險(xiǎn)(加分項(xiàng)).11) 支持與漏洞掃描工具集成聯(lián)動,對掃描工具檢測到的問題, 根據(jù)程序的流程記錄漏洞產(chǎn)生的程序的執(zhí)行過程,定位到對應(yīng)的源代碼(加分項(xiàng)).12) 具備漏洞問題自動劃分優(yōu)先級,根據(jù)問題的嚴(yán)重性和可能性進(jìn)行威脅級別 的劃分,如危險(xiǎn)、高、中、低等多個(gè)級別,須集成完善的漏洞分級標(biāo)準(zhǔn)和定 義庫,支持對源代碼平安缺陷掃

8、描結(jié)果進(jìn)行分類分級匯總.13) 能夠支持通過瀏覽器方式遠(yuǎn)程查看和審計(jì)測試結(jié)果,查看漏洞點(diǎn)及產(chǎn)生過 程信息.能支持平安問題的查詢和過濾功能,方便審計(jì)人員針對某一特定條件進(jìn)行精準(zhǔn)查詢,對滿足條件的漏洞進(jìn)行統(tǒng)一審計(jì)和標(biāo)注.14) 能夠支持對工程的兩次測試結(jié)果的比擬報(bào)告,并羅列審計(jì)狀態(tài)的比擬和計(jì) 算出漏洞修復(fù)率.15) 用戶能夠根據(jù)企業(yè)自身需要來調(diào)整和修改問題的默認(rèn)分級策略, 方便審計(jì).如：用戶可以自定義漏洞的級別,添加TOP10別.16) 支持輸出包括HTML PDR EXCELlf種格式的檢測報(bào)告,報(bào)告內(nèi)容可對缺陷等級、缺陷類型、修復(fù)建議、跟蹤路徑根據(jù)需求進(jìn)行配置.缺陷報(bào)告應(yīng)可 依據(jù)不用的用戶角色

9、生成治理人員報(bào)告與開發(fā)人員報(bào)告.治理人員報(bào)告主 要包括缺陷等級及缺陷類型等根本統(tǒng)計(jì)信息,開發(fā)人員報(bào)告除了包括缺陷等級及缺陷類型等根本統(tǒng)計(jì)信息外,還應(yīng)包括缺陷分類、缺陷描述、修復(fù)建議、風(fēng)險(xiǎn)點(diǎn)、缺陷跟蹤信息等詳細(xì)信息.17)該測試系統(tǒng)提供知識分享平臺,用戶可以方便查看、學(xué)習(xí)各個(gè)開發(fā) 語言的平安漏洞知識,提升平安開發(fā)水平.同時(shí)支持用戶對漏洞知 識進(jìn)行自定義,添加或補(bǔ)充用戶自身總結(jié)的平安漏洞經(jīng)驗(yàn).18) 該測試系統(tǒng)提供對工程結(jié)果進(jìn)行評分功能,用戶可以根據(jù)工程的重要性,漏洞的級別,漏洞審計(jì)的結(jié)果等因素對評分進(jìn)行權(quán)重設(shè)計(jì),自定義各項(xiàng)評分因子,并根據(jù)用戶自定義產(chǎn)生評分評級報(bào)告.19) 該測試系統(tǒng)提供測試的標(biāo)

10、準(zhǔn)或基線治理功能,方便用戶將企業(yè)的平安測試 標(biāo)準(zhǔn)、基線進(jìn)行發(fā)布和推廣.3、漏洞治理功能與技術(shù)要求：1) 治理功能實(shí)現(xiàn)對代碼審計(jì)工具(引擎)的使用調(diào)度與治理, 須為基于企業(yè)云部署方式,集群式架構(gòu),可分布式處理多用戶、 多任務(wù)的測試需求. 支持無 限擴(kuò)展并發(fā)測試任務(wù)數(shù),測試性能強(qiáng)大,穩(wěn)定.能夠?qū)崿F(xiàn)掃描任務(wù)發(fā)起、漏洞通告、跟蹤和統(tǒng)計(jì)分析等任務(wù)的自動化,實(shí)現(xiàn)XX公司平安生命周期的落地.2) 該測試系統(tǒng)的用戶角色應(yīng)分為系統(tǒng)治理員,治理員,平安審計(jì)員,平安測試員,漏洞查看員五個(gè)不同有角色,方便用戶根據(jù)工程測試的實(shí)際情況組合使用.3) 支持日志功能,每次掃描均須日志記錄, 記錄內(nèi)容包括但不僅限于： 掃描的對

11、象、掃描開始時(shí)間、完成時(shí)間、發(fā)起人員、掃描結(jié)果情況等.4) 支持展示每一個(gè)源代碼缺陷分析任務(wù)的相關(guān)信息,信息應(yīng)包括任務(wù)名稱、開發(fā)語言、發(fā)起時(shí)間、完成時(shí)間、檢測狀態(tài)、缺陷總數(shù)、等級分布以及創(chuàng)立者 信息.5) 支持展示每一個(gè)源代碼缺陷分析任務(wù)所檢測的對象(文件列表) 、測試過程的分析引擎日志,方便用戶查看是否存在測試不完整或測試不正確的情況.6) 該測試系統(tǒng)應(yīng)能夠提供測試的計(jì)費(fèi)治理功能.可以對用戶賬號充費(fèi), 可以設(shè)置充值金額,同時(shí)也可以對單次測試的收費(fèi)額度進(jìn)行設(shè)置.7) 支持根據(jù)多種條件對源代碼缺陷分析任務(wù)進(jìn)行查詢.8) 支持對測試任務(wù)的相關(guān)情況進(jìn)行報(bào)表統(tǒng)計(jì)與治理,查詢與生成報(bào)表的條件包括但不僅限于：測試時(shí)間,部門、工程級、開發(fā)語言、測試人員等,統(tǒng)計(jì)的結(jié)果包括但不限于： 測試狀態(tài)、測試的漏洞總數(shù)、 嚴(yán)重漏洞數(shù)等內(nèi)容. 并 以報(bào)表形式導(dǎo)出.3 其他需求1、 供給商須為原廠或須具備原廠授權(quán)的總代理或行業(yè)金牌代理資質(zhì).2、 供給商需提供至少一年的維保效勞,效勞期內(nèi)免費(fèi)提供代碼審計(jì)系統(tǒng)版本、檢測規(guī)那么、治理平臺的升級與相關(guān)維保效勞.2.需求匯總提示：經(jīng)過屢次調(diào)研將最終確定的需求分類匯總于此表.編R需求項(xiàng)具體描述需求等級需求來源是否可實(shí)現(xiàn)備注1.功能需求1.1代碼平安審計(jì)引擎建設(shè)需求必須是1.21.31.42.性能需求2.12.22.32.43.安上