SAST静态应用安全检测系统(HCS版)-

默安科技雳鉴静态应用安全检测系统（以下简称“雳鉴SAST”），专注解决软件安全开发流程（SDL）中研发阶段的代码安全问题，是默安科技面向研发安全需求开发的基于软件安全开发生命周期管理的源代码安全检测系统。在不改变当前研发流程和组织架构的前提下，与代码仓库（如SVN/GIT/TFS/Bitbucket）无缝对接，实现开发阶段的代码安全漏洞生命周期闭环管理，以最小的代价帮助企业和组织实现源代码安全的 自动化 检测，漏洞周期管理，安全质量分析，实现源代码安全的可视化管理。

1 产品架构
雳鉴SAST核心部分由云端安全管理平台，代码安全分析引擎，代码仓库监控引擎，数据存储中心，代码漏洞知识库等组成。

云端安全管理平台负责项目代码安全检测的统一管理，代码分析检测引擎的检测策略，漏洞生命周期的闭环管理，代码审计，报告输出以及与代码版本管理系统对接；代码仓库监控引擎负责拉取用户代码仓库中的代码，实时监控代码仓库的变化情况，获取代码相关信息；代码分析检测引擎负责源代码的安全分析检测，软件成分的识别与安全检测；数据存储中心负责保存用户数据；代码漏洞知识库负责存储漏洞详情，漏洞等级，漏洞样本，修复建议，代码示例等基础数据信息，协助开发人员修复漏洞。

2 产品组成与结构
雳鉴SAST由项目管理模块，风险管理模块，风险扫描模块，软件成分管理模块，系统管理模块五个大模块组成。项目管理模块负责代码安全检测与统一管理，项目包含详情、任务管理列表和扫描历史列表，可在任务中设置代码分析引擎的相关检测策略；风险管理模块包含对安全漏洞、代码规范风险、软件成分风险的生命周期闭环管理，从漏洞发现、确认、修复、复检，覆盖漏洞生命周期的各个环节；风险扫描模块负责对源代码进行分析，进行安全检测；软件成分管理模块负责对项目中扫描出的软件成分进行分析统计及管理；系统管理模块负责账号权限、规则配置、日志审计、 消息通知 、系统配置等相关管理策略。

2.1 项目管理模块
项目管理模块可根据项目/任务/扫描历史维度进行管理，包括新建项目，项目列表展示。

单个项目中包括项目详情展示、任务管理列表展示、扫描历史列表展示以及扫描任务创建。

新建项目功能支持修改项目名称及项目成员；

项目列表支持展示归属人、任务数、漏洞修复占比等信息；

项目详情项目包括基础信息展示，图表分析，风险列表展示，软件成分列表展示等功能，支持安全软件开发流程管理，关注安全漏洞的收敛情况，同时可反映产品迭代过程中安全问题的爆发和修复趋势，且支持与第三方devsecops工具对接；

任务管理列表支持展示仓库地址/文件名称、风险等级、风险数量等，可查看任务详情中扫描历史的对比详细信息，支持设置定时扫描；

扫描历史展示扫描ID、风险等级、风险数量等，可查看单次扫描详情，包含扫描行数、千行代码漏洞数、扫描动态等；

新建扫描任务功能，支持任务代码仓库（SVN/GIT/TFS/Mercurial）地址或上传文件创建任务。可设置扫描的语言类型，可设定最长扫描时长，支持设置保留时间，可选择检测的漏洞类型，对代码进行针对性安全检测。同时支持选择自定义检测模板进行专项项目检测（无需多次配置同类项目扫描参数）。

2.2 风险管理模块
风险管理模块包括风险统计概述，风险图表分析，风险详情、风险列表以及通用安全组件等功能，提供对漏洞生命周期的全流程管理，包括漏洞的发现，漏洞详情，漏洞重新检测，漏洞状态修改，漏洞分享等功能。

 风险统计概述展示项目总数，扫描的代码行数，风险数，未修复风险数；

 风险图表分析包含风险Top5项目，千行代码漏洞数Top5，重现漏洞类型Top5，项目修复漏洞数Top5，项目漏洞修复率Top5；

 风险详情包括展示风险基本信息，风险描述，修复建议，代码示例，风险回溯，帮助研发人员定位问题；

 风险列表包括展示项目名称，代码位置、风险类型、所属语言等信息，以及风险操作，包括进行风险分享、查看风险详情、风险状态修改(误报、已修复、未修复、忽略)等批量处理；

 支持一键同步漏洞至JIRA和禅道。

2.3 风险扫描模块
雳鉴SAST漏洞检测模块目前支持java/php/python/C/C++/C#/JS/Go语言代码安全检测，支持设置代码扫描语言类型，支持增量扫描、全量扫描、定时扫描等多种扫描模式，可检测漏洞种类包括SQL注入、跨站脚本、命令执行、反序列化等292个大类，3500多条漏洞检测策略。同时包括软件成分安全检测和数万条 开源 组件漏洞检测策略。

雳鉴SAST漏洞检测兼容以下3个国际标准或规范：

CWE(Common Weakness Enumeration):常见漏洞列表，是MITRE公司继CVE之后的又一个安全漏洞词典。CWE 为程序员和安全从业者提供了一个有条理的软件漏洞类型库。CWE 旨在让人们更好地理解软件缺陷并创建能够识别、修复以及阻止此漏洞的自动化工具。 

OWASP TOP 10:开放式 web 应用程序安全项目十大安全漏洞列表，是 OWASP 最重要的项目之一。OWASP TOP 10 不但总结了web应用程序最可能、最常见、最危险的十大安全隐患，还包括了如何消除这些隐患的建议。 

CWE/SANS TOP 25 Most Dangerous Software Errors:CWE/SANS 25种最危险的编程错误，是SANS学院、MITRE公司及美国和欧洲很多顶级软件安全专家共同合作的成果。CWE/SANS TOP 25 可以帮助程序员编写更安全的代码，帮助用户衡量软件是否安全。

2.2.4 软件成分管理模块
软件成分管理模块包含软件成分列表、依赖检测。

软件成分列表包括软件成分信息统计，软件成分图表分析，软件成分风险，软件成分列表以及软件成分详情等功能，提供对软件成分的管理，包括软件成分详情，分享，报告导出，一键重新检测等功能。帮助项目管理者把控第三方组件使用情况和最新安全风险，督促研发人员及时更新或者修复软件成分带来的相关安全风险。

 软件成分信息统计包括支持展示总软件成分数，涉及项目数，风险软件成分数；

软件成分图标分析包括软件成分使用数量Top5，软件成分风险等级分布，开源 许可证 分布TOP10，开源许可证风险等级分布可视化呈现；

软件成分列表展示软件成分详细列表，支持一键重新检测并根据漏洞名称进行搜索，在新漏洞公布后帮助企业确认受影响的第三方组件，完成1day响应；

软件成分详情包括软件成分基础信息，漏洞列表，引用位置，所属项目等。软件成分漏洞列表包含漏洞的详细信息，帮助研发人员快速定位安全问题，及时更新软件成分。

依赖检测页面支持用户搜索第三方库包含的漏洞信息。

2.5 系统管理模块
系统管理模块包括系统信息、账号管理、报告管理、消息通知、网络测试、系统升级、自定义配置、日志审计、帮助中心等功能，帮助系统管理者更清晰的了解漏洞情况和更方便的使用系统系统信息帮助使用者实时关注雳鉴平台使用情况，包括CPU占用率，网络带宽情况，内存使用率等；

账号管理功能帮助项目管理员将项目的安全问题分配给不同角色、不同岗位的用户，不同的用户可于管理页面直观清晰了解所有项目的漏洞情况，契合软件开发流程中的人员角色分配；认证源可以快速同步企业内部已经有的账号信息同步至雳鉴SAST中；登录安全设置可对登录过程中有关安全的要求项进行设置；

报告管理支持生成并下载多种格式、多维度的安全检测报告、软件成分信息报告等；

系统升级功能支持通过离线升级包快速升级，实时专人在线保证雳鉴平台升级；

系统自定义支持用户自定义LOGO、编辑页面关键词信息等；扫描模板自定义支持用户自定义配置扫描模板，以便于单项目或单语言的专项扫描；风险自定义功能支持用户自定义风险详情，以适用于企业内部的安全代码体系；SSH公钥配置支持用户添加SSH公钥，便于通过SSH公钥形式创建任务； 

日志审计功能支持对雳鉴SAST用户的操作日志做存储记录，以便后续对日志进行审计，帮助系统管理人员发现异常操作，及时处理；

网络配置和系统配置功能让雳鉴平台可根据各种业务环境调整配置，适应各种网络环境。