源代码检测产品规格

源代码安全测试审计项目招标指标

一、总体要求：

◆1、产品厂商在国内有专业的稳定的技术支持团队覆盖全国，具备全球领先的应用

安全研发实力和客户服务经验，可以向客户提供最专业的产品培训，顾问咨询及技术支持服务等，需要提供国内原厂人员的支持力量说明。

◆具备完整的解决方案，涵盖IAST、DAST和SAST代码安全检测解决方案

◆源代码安全检测工具的重点在于漏洞支持的数量，请产品厂商提供支持的漏洞描

述，考察漏洞描述的详细程度和修复建议的详细度，在互联网上可以访问到该厂商提供的非第三方的所有漏洞描述信息描述，并且提供厂商在漏洞研究方面的实力证明。

◆至少5年排名在Gartner的领导者位置,并且提供证明

◆投标供应商保证其提供的软件产品为具有合法版权或使用权的正版软件，请提供中

国分支机构出具的原厂授权函和原厂服务承诺函。

二、产品要求

（1）扫描分析功能：

⏹支持多种常见编程语言，包括、、C#.Net、ASP、VBScript、VB6、

Java ( Android )、JSP、JavaScript、HTML、XML、C/C++、PHP、T-SQL(MSSQL DB)、PL/SQL (Oracle DB)、Action Script、Objective-C (iPhone)、ColdFusion、Python、COBOL、SAP-ABAP、Ruby等22中语言。可以对Java代码在bytecode级别进行检

测

⏹有独有专利技术的数据流分析器，可以更深层次的分析代码，需要提供专利编号

供查询

⏹能够和现有成熟的软件开发环境集成，如Visual Studio 2003,2005,2008，2012，

2015, Eclipse 2.X 3.X,IntelliJ13, Android Studio, JDeveloper和WSAD,RAD

工具。

⏹能够支持主流的操作系统平台下的检测：Windows、 Linux 、AIX，HP-Unix, Mac

OS, Solaris。支持苹果最新的Xcode 6 Compiler(6.1, 6.2 & 6.3)

⏹能够跟踪可疑的数据从输入直到该数据被不安全使用的全过程，从而分析数据使用

的安全隐患。

⏹能够发现易于遭受攻击的语言函数或者过程，并理解它们使用的上下文环境，识别

出使用特定函数或者过程带来的软件安全的隐患。

⏹能够精确地跟踪业务操作的先后顺序，发现因代码构造不合理而带来的软件安全隐

患。

⏹能够自动分析软件的配置和代码的关系，发现在软件配置和代码之间，由于配置丢

失或者不一致而带来的安全隐患。

⏹从代码的结构方面分析代码，识别代码结构不合理而带来的安全弱点和问题。

⏹对多层次、多语言的项目，可以跨层次、跨语言地对整个项目进行分析。找到贯穿

在多个层次或者多种语言的安全问题。

⏹能够支持检测业界最全的安全漏洞，工具能够支持检测的漏洞要能依从于国际权威

组织，如美国软件安全漏洞词典CWE。

（2）审核功能：

⏹能够对安全漏洞扫描结果的进行汇总，并按照问题的严重性和可能性进行级别的划

分，如Critical，High, Medium, Low四个级别。

⏹用户能够根据企业自身需要来调整和修改问题的默认分级策略，方便审计。

⏹能够迅速定位某一特定安全问题所在的源代码行，对问题产生的整个过程进行跟

踪，并能以图形化的形式展现。

⏹能够根据安全问题的审计结果、审计类别进行划分。

⏹能够提供安全问题的中文细描述和推荐修复建议，包括详细的示例。

⏹能够提供与之前扫描结果的比较，指出本次扫描出来的新问题，并且能够与以前的

审计结果进行合并，减少重复审计工作。

⏹支持按文件名、API、漏洞类型、严重等级等进行分类、过滤、查询、统计。支持

对漏洞信息的全文检索功能，可以从其中快速检索到指定类别或者名称的漏洞信

息。

（3）漏洞管理和报表功能

⏹能够对安全代码规则进行集中配置和管理功能，可实现安全代码规则的添加、修改

和删除。

⏹能够针对客户的个性化需求勾选报表模板中的内容。

⏹提供多种格式的检测报告格式，至少包括PDF、Xml，Word等。

⏹能够提供将测试结果与OWASP 2004/2007 /2010/2013 TOP10漏洞比较性报表。

⏹可以支持和QC、Jira, Bugzilla等主流的质量管理系统集成。使安全测试、功能

测试和性能测试发现的问题统一管理，与开发团队现有的流程相融合。

（3）系统集成和扩展能力

⏹漏洞管理平台可以支持和企业LDAP域用户服务器和Email服务器的集成。提高工

作效率，实现集中管理。

⏹可以支持和主流持续集成平台的整合，实现从获取最新代码、构建编译、安全测试、

结果发布的全自动化，提高工作效率，节省人力成本。

⏹可以支持和主流的黑盒Web应用安全测试产品进行黑白盒关联分析，具有强大的可

扩展性，提高应用安全测试结果的准确性，并且得到精准的定位和修复。

（4）产品的成熟度和适用性

⏹检测工具的技术应达到国际领先水平，应有国际/国内权威机构的获技术奖项等。

⏹扫描工具的扫描规则可以方便进行更新，可以以线上，线下多种方式进行升级更新。

⏹工具操作界面清晰简单，用户容易掌握使用。

⏹能够提供完备工具软件使用文档。

⏹测试的速度是可接受的范围内。如，10万行代码应该可在20分种内完成测试。

⏹能够灵活使用工具进行扫描分析，可以支持用IDE插件，直接扫描程序的目录，

和命令行下扫描等方式。

⏹测试工具在国内至少有50家正式使用用户。同时在国内要有丰富实施经验的技术

支持人员来保证顺利在企业中实施。

（5）工具应至少支持对以下安全漏洞的检测：

⏹跨站脚本攻击