代碼復核和安全服務要求

代碼復核和安全服務要求（一）代碼審計服務技術指標指標要求服務范圍代碼審計服務包含80個應用系統(tǒng)數(shù)量。服務內(nèi)容收集當前系統(tǒng)的源代碼，在了解業(yè)務流和各模塊功能和結(jié)構的情況下，以OWASPTOP10為檢查依據(jù)，檢查系統(tǒng)代碼在程序編寫上的安全性和脆弱性以及結(jié)構性安全。源代碼安全性審計主要內(nèi)容應包括：分析源代碼是否能追溯到需求；分析源代碼是否符合支持工具和編程語言分析；分析源代碼是否滿足模塊化、可驗證、易安全修改的要求；分析軟件編碼中所使用技術的安全性和方法的合理性。輸出物《代碼審計報告》代碼審計工具要求：提供專業(yè)的代碼審計工具基本功能語言支持支持C、C++、Java、JavaScript、JSP、PHP、Android、Python、Shell、GO、SQL編程語言；C/C++代碼檢測速度可達到50萬行代碼/小時。Java，JSP項目分析速度：Java，JSP代碼檢測速度不低于100萬行代碼/小時。代碼分析方式支持命令行方式本地調(diào)用分析；代碼分析類型1、支持對有源碼以及編譯結(jié)果的素材進行掃描與分析；2、支持對無源碼（如無源碼的Apk或Jar包）的素材進行掃描與分析。代碼掃描速度C/C++代碼檢測速度不低于50萬行代碼/小時。Java，JSP代碼檢測速度不低于100萬行代碼/小時。代碼掃描模式支持掃描速率調(diào)節(jié)，不少于5個檔位，可以根據(jù)不同場景提供不同掃描速率選項。報告內(nèi)容及數(shù)據(jù)報告應能夠提供對項目缺陷的數(shù)量統(tǒng)計以及單個缺陷的狀態(tài)更新對比，支持以EXCEL、HTML、PDF、JSON方式導出報告內(nèi)容。代碼度量能夠從可靠性、可維護性、覆蓋率、重復度、大小、復雜度、問題、安全等方面量化源代碼的詳細質(zhì)量情況，評估源代碼的質(zhì)量情況。流程集成IDE支持支持云分析，不占用開發(fā)機資源；插件支持：支持Eclipse/IDEA插件。對選擇的模塊或當前編輯源代碼進行快速遠程分析。支持遠程升級插件版本。CI集成支持GitLab、Jenkins、SVN、Github集成。支持JenkinsCI平臺。支持遠程觸發(fā)分析，異步觸發(fā)分析和串行質(zhì)量門檻分析。無需安裝額外插件，支持多服務器遠程升級安裝包和更新授權。能接入Gitlab代碼評審流程，針對代碼修改進行快速分析，分析結(jié)果反饋到Gitlab代碼片段中。Bug管理系統(tǒng)集成支持SonarQube集成。支持Sonarqube報告平臺，支持作為sonar的插件進行運行；無需部署新的后臺服務或硬件；支持多服務器遠程升級安裝包和更新授權。標準覆蓋國際國內(nèi)標準支持《OWASPTop10代碼安全標準》《CWECheckersForC/C++》《CWECheckersForJava》《國家源代碼漏洞測試標準GB/T34943-2017》《國家源代碼漏洞測試標準GB/T34944-2017》《電子行業(yè)標準SJ/T11682-2017（C/C++）》《電子行業(yè)標準SJ/T11682-2017（Java）》《SEICERTJavacodingstandard》《SEICERTC++codingstandard》《MISRAC++2008》投標人或服務原廠商對代碼審計有著深入的研究，曾參與相關檢測標準的制定：1、GBT34944-2017《Java語言源代碼漏洞測試規(guī)范》。2、SJT11683-2017《Java語言源代碼缺陷控制與測試指南》。CWE標準覆蓋C/C++/Java缺陷檢測器覆蓋150余條CWE規(guī)則?？傄?guī)則數(shù)量：C/C++高于500條，Java高于600條。MISRA覆蓋C++檢查器覆蓋160余條MISRA規(guī)則。分析能力代碼質(zhì)量檢測覆蓋內(nèi)存和資源誤用、錯誤和異常處理等9類2922條檢查器代碼安全檢查覆蓋輸入驗證與表示、隱私數(shù)據(jù)泄漏等3類300條檢查器虛函數(shù)檢測能力能夠支持C/C++虛函數(shù)的檢測分析能力跨函數(shù)全文本分析能力能夠支持跨函數(shù)的全文本檢測分析能力（二）重要時期安全保障服務技術指標指標要求服務內(nèi)容重要時期提供人員現(xiàn)場保障服務，服務期間保障工程師利用人工結(jié)合工具等方式對單位信息系統(tǒng)、網(wǎng)站、服務器等資產(chǎn)進行實時監(jiān)測，及時處理發(fā)現(xiàn)的系統(tǒng)安全事件。同時利用安全監(jiān)測平臺對安全威脅及事件進行取證溯源，并對內(nèi)部安全設備策略進行配置優(yōu)化，幫助用戶建立完善的網(wǎng)絡安全保障機制。針對重要系統(tǒng)，值守工程師模擬黑客的攻擊思路進行滲透測試，發(fā)現(xiàn)信息系統(tǒng)存在的安全威脅。除完成以上內(nèi)容外，還需滿足客戶提出的其他臨時安全需求，并最終提交各項報告。服務工具需對本市提供對業(yè)務云增值安全服務的統(tǒng)一管理和分析服務，對云內(nèi)虛擬安全設備如防火墻、系統(tǒng)掃描、堡壘機等的全方位管理。提供拓撲、設備配置、故障告警、性能、安全、報表等網(wǎng)絡安全管理服務，提供對云平臺上安全資源集中、統(tǒng)一、全面的監(jiān)控與管理服務。輸出物《重保日報》、《重?？偨Y(jié)報告》等。（三）漏洞掃描服務技術指標指標要求期限及頻率提供不少于12次漏洞掃描服務。服務內(nèi)容采用業(yè)界認可的、專業(yè)的掃描工具，通過定制的掃描規(guī)則，形成安全掃描策略文檔，對用戶指定主機進行一次全面的自動化安全掃描，人工驗證掃描結(jié)果，并輸出安全掃描報告及修復建議。輸出物《主機漏洞掃描報告》工具要求須提供專業(yè)合規(guī)的漏洞掃描工具。數(shù)據(jù)庫掃描工具1、支持針對數(shù)據(jù)庫每張表每個字段的內(nèi)容進行敏感數(shù)據(jù)探測，用戶可以自定義添加敏感信息，可以讓用戶了解自己的數(shù)據(jù)庫系統(tǒng)有哪些敏感數(shù)據(jù)，存放的具體位置，便于在信息保護和審計中重點關注；2、支持針對Oracle、SQLServer、MySQL、Informix、DB2、Sybase、PostgreSQL、達夢、人大金倉進行數(shù)據(jù)庫授權掃描；3、提供自動搜索功能，可以自動搜索出某一網(wǎng)段或指定IP范圍內(nèi)（端口號可默認或指定范圍）的活動數(shù)據(jù)庫，輕松獲得數(shù)據(jù)庫的基本信息（包括IP、數(shù)據(jù)庫類型、服務名、端口號、數(shù)據(jù)庫版本、操作系統(tǒng)類型、主機名等）；可按時間點、按日、按周定制掃描計劃，到時間自動進行掃描；4、使用具有DBA權限的數(shù)據(jù)庫用戶，執(zhí)行選定的安全策略實現(xiàn)對目標數(shù)據(jù)庫的檢測；5、用戶在沒有授權的情況下（即：不需要數(shù)據(jù)庫的用戶名和密碼），依據(jù)數(shù)據(jù)庫版本號并根據(jù)選定的安全策略對目標數(shù)據(jù)庫進行的檢測；WEB應用弱點掃描工具1、支持常見的WEB應用弱點檢測，支持OWASPTOP10等主流安全漏洞，如：SQL注入、Cookie注入、Base64注入、XSS跨站腳本、框架注入、鏈接注入、隱藏字段、CSRF跨站偽造請求、命令注入、命令執(zhí)行、代碼注入、遍歷目錄、弱口令、表單繞過、文件包含、管理后臺、敏感信息泄漏、第三方組件、其他各類CGI漏洞等各種類型；2、支持在漏洞知識庫中單獨選擇某漏洞直接下發(fā)掃描任務以驗證是否存在該漏洞；3、支持定制掃描：用戶可根據(jù)；目標掃描網(wǎng)站的特點以及所在網(wǎng)