源代码检测分析管理平台-
版本: V2.0 | 交付方式: License |
适用于: Windows/Linux | 上架日期: 2021-12-13 03:06:34 |
源代码检测分析管理平台(SCAP)是海云安自主研发的基于B/S架构的系统,分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。从平台整体功能来说,SCAP源代码安全检测系统能够支持C\C++、Java、JS、PHP、SQL等语言代码进行扫描检测,能够对检测后的结果进行展示、审计和整改跟进管理,并且可以对检测和和审计后的结果快速形成报告进行导出。在系统前端,可以实现一键上传代码、提交后台自动扫描检测,并且能够快速生成报告。另外,在平台上还可以根据 自动化 扫描结果进行人工代码审计,排查误报,对报告的内容进行加工处理,并且可以在平台上可以与多用户进行漏洞确认和修复情况跟进。在系统后端,是结合 数据库 管理、任务分发管理和源代码扫描引擎于一体的综合性平台。能够根据前端提交的代码自动启动相应的扫描引擎,扫描结束后能够把扫描结果自动入库管理。
从系统的使用特点来说,源代码检测分析管理平台是一个集成一键上传、自动检测、误报加白、扫描结果人工审计、代码漏洞确认、代码修复跟进、检测版本对比、报告导出、漏洞管理、用户管理等功能与一体的综合性检测管理平台。不但适合在开发过程的事中小版本迭代测试管理,而且可以在事后做全版本代码的整体测试管理。
商品核心功能及服务:
平台架构
基于B/S架构,支持IE(9.0 及以上版本)、Firefox、Chrome 等浏览器访问。
支持检测语言
支持20+种语言 ABAP/BSP;ActionScript,;Apex;ASP.NET;C# (.NET);C/C++;Classic ASP (包括 VBScript);COBOL;ColdFusion CFML;HTML;Java(包括 Android) ;JavaScript/AJAX;JSP;MXML (Flex);Objective C/C++;PHP;PL/SQL;Python;Ruby;Swift;T-SQL;VB.NET;VBScript;Visual Basic;XML;
涵盖2400+种缺陷类型,风险类型参考来源CWE、OWASP、SANS、PCI DSS、STIG、NIST等。
源码仓库对接
系统支持本地直接发起检测任务,也可以从SVN、GIT、TFS、等代码仓库获取代码发起检测任务,同时源代码来源支持FTP和共享目录。
本地上传代码
支持从浏览器一键上传本地代码包,后台自动执行代码扫描分析,支持上传zip、rar、7z、tar等压缩包格式代码包。
IDE开发环境支持
可以支持从Visual Studio、Eclipse、intelliJ、Android Studio等IDE插件集成,能够实现一键提交代码扫描。
CI/CD环境集成
1、源代码检测分析管理平台提供丰富的插件和接口与企业现有的研发测试工具链进行集成,帮助企业推动DevSecOps落地。
2、能够对接Jenkins CI构建环境,在构建时自动触发提交代码扫描,能够让您在持续集成任务中使用源代码检测分析管理平台检测源代码缺陷,从源头提升软件安全性和可靠性。
3、代码支持主流的构建工具集成,如Maven,Gradle,系统可自动获取被测源代码的第三方依赖进行构建。
支持缺陷管理 工单 系统对接
支持与缺陷工单管理平台对接(如Jira、TFS、禅道等);
检测、审计完成后的结果,可以提交到Jira、TFS、禅道等缺陷跟踪系统中进行缺陷整改闭环。
安全问题误报过滤
1、任务版本对比跟踪
基于二次审计分析引擎,结合版本对比功能,能够通过版本对比,误报自动加白名单,减少开发人员重复审计的工作量,提高审计效率;
2、误报白名单管理
基于二次审计分析引擎,使用积累的误报规则对自动化扫描结果进行误报清洗,降低扫描结果的误报率;
3、误报规则自定义
支持误报过滤规则的客户化配置,例如在规则中配置数据的可信来源,来自内部配置文件的数据配置为误报,减少人工排查误报时间。
4、关键修复点分析
能够基于数据流分析安全问题成因路径和安全漏洞产生的全过程,分析并提出最佳修复点,以图形化的方式展示。
代码风险缺陷去重
对于同一个代码工程的多次检测任务,只保留去重后的代码缺陷,基于去重机制可自动验证代码缺陷新增、未修复和修复状态,增强代码风险缺陷闭环管理。
代码审核分析
1、使用大量的过滤分析算法,并提供高效的审计分析交互界面,实现批量审计分析功能;
2、在审计分析页面上,能够分析代码漏洞产生的详细路径,并对扫描结果的每个问题能够给出详细的漏洞风险说明和 解决方案 ;
3、支持筛选查看原始扫描结果和审计分析结果;
4、支持代码安全和代码质量扫描分类筛选审核;
5、支持通过代码路径、代码内容,漏洞分类等筛选条件审核扫描结果。
可视化配置与监控
1、能够支持查询扫描引擎的扫描日志功能,并记录扫失败的原因;
2、提供可视化的页面配置系统参数、日志管理、异常预警等相关信息;
3、区分扫描引擎扫描阶段,结果分析阶段,并能看到每个阶段的扫描耗时。
缺陷误报优化
支持对代码扫描误报优化,可以自定义误报过滤规则,自定义规则支持根据风险类型、代码路径、代码内容三个维度进行配置规则,系统使用积累的误报规则对自动化扫描结果进行误报清洗,降低扫描结果的误报率,同时通过版本对比,误报自动加白名单。通过智能分析引擎与代码检测检测引擎相结合,把误报率降低到15%以下。
检测报告报表支持
提供详细的代码风险管理报告、代码风险统计报表、代码漏洞趋势分析报表、代码量统计报表等,对阶段性的检测结果统计分析;根据审计结果可生成源代码审计分析技术报告,报告能够详细定位代码问题,并提供详细的漏洞说明和解决方案;分析报表可以导出为word或pdf格式。
支持检测漏洞标准
默认兼容CWE/SANS/OWASP 等国际主流安全标准、提供合规检测模块,支持GB/T 38674-2020 《信息安全技术 应用软件安全编程指南》、CERT C/C++/JAVA等国内编码标准合规检测。
代码质量缺陷检测
支持。代码质量(越界访问、参数未初始化等380种)支持按照安全缺陷、质量问题、错误编码分类对缺陷进行分类显示,能够对检测结果列表进行全文检索。
开源 组件安全检测
支持对第三方组件漏洞检测,发现开源组件中存在的公开漏洞。
增量分析检查
基于代码仓库提交的方式,才可以做增量扫描:
支持GIT SVN的代码进行增量检测;
原理是每次根据仓库中每次提交的信息,分析出增量的文件部分,只针对这些文件进行检测;会丢失掉其他文件的缺陷,或者是依赖其他文件才能触发的缺陷。
规则自定义
1、主要安全规则全面且完备;
2、可清晰划分、定义和实现安全规则, 公开所有规则的实现细节,快速完成安全策略的实现;
3、支持代码逻辑和架构分析;
4、支持代码安全基线与规则一一对应;
5、支持用户自定义代码安全的验证逻辑,并在扫描过程应用这些验证逻辑,清除误报。
AD域接入认证
能够支持配置接入多个AD域进行用户登录认证
配置管理
提供可视化的页面配置系统参数、日志管理、异常预警等相关信息。
代码检测性能
1、在16C64G的配置下的平均检测速度,大项目4.5万行/分钟,中小项目:1.3万行/分钟;平均:2.5万行/分钟。
2、支持分布式部署,根据系统性能配置并发扫描任务数量
3、支持每天构建扫描项目量大于600个
修复建议
专业的软件代码修复建议内容,提供多种语言(当前开发语言)的代码修复建议。能够对源代码安全扫描结果进行汇总,并按照问题的严重性和可能性进行威胁级别的划分,如高、中、低等多个级别;能够提供中文的源代码安全问题分类、问题描述及修复建议。
报告内容
检测报告能够根据用户角色分为概要报告和详细报告。概要报告主要包括问题等级及问题类型等基本统计信息,详细报告除了包括问题等级及问题类型等基本统计信息外,还应包括问题分类、问题描述、修复建议、风险点、问题跟踪信息及关键API等详细信息;报告内容可对问题等级、问题类型、修复建议、跟踪路径根据需求进行定制。
第三方工具集成能力
1、系统支持本地直接发起检测任务,也可以从SVN、GIT、TFS、StarTeam、等代码仓库获取代码发起检测任务,同时源代码来源支持FTP和共享目录;
2、支持构建工具集成,如Maven,Gradle,支持自动获取被测源代码的第三方依赖进行检测 ;
3、对外提供二次开发接口,支持外部系统同步用户、发起检测任务、获取任务结果和缺陷详情以及离线报告生成、查询、下载等功能。
产品资质
1、具有中国国家版权局颁发的软件著作权登记证书;
2、具有中国国家版权局颁发的软件软件销售 许可证 书;
3、国家信息安全漏洞库兼容性资质证书 : 源代码检测分析管理平台(SCAP2000/V2)
4、信息技术产品安全测试证书 : 源代码检测分析管理平台 SCAP2000/V2
5、实用新型专利证书-一种快速源码分析装置
6、麒麟软件NeoCertify认证 : 源代码检测分析管理平台 SCAP2000/V2