概述
源代码检测分析管理平台(SCAP)是一个基于B/S架构的系统,分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。从平台整体功能来说,SCAP能够支持C\C++、Java、JS、PHP、SQL等语言代码进行扫描检测,能够对检测后的结果进行展示、审计和整改跟进管理,并且可以对检测和和审计后的结果快速形成报告进行导出。在系统前端,可以实现一键上传代码、提交后台自动扫描检测,并且能够快速生成报告。另外,在平台上还可以根据自动化扫描结果进行人工代码审计,排查误报,对报告的内容进行加工处理,并且可以在平台上可以与多用户进行漏洞确认和修复情况跟进。在系统后端,是结合数据库管理、任务分发管理和源代码扫描引擎于一体的综合性平台。能够根据前端提交的代码自动启动相应的扫描引擎,扫描结束后能够把扫描结果自动入库管理。
从系统的使用特点来说,SCAP是一个集成一键上传,Git/Svn代码仓库对接,Jenkins构建系统集成,Eclipse插件集成,自动扫描检测,二次分析引擎误报自动过滤,增量对比误报加白名单、扫描结果人工审计、漏洞工单对接,代码漏洞确认、代码修复跟进、检测版本对比、报告导出、漏洞管理、用户管理等功能与一体的综合性检测管理平台。不但适合在开发过程中进行小版本迭代测试管理,而且可以在开发完成后做全版本代码的整体测试管理。
价值
NO.1
能够展示各研发部门源代码安全审计情况、整改前后的对比、全局源代码审计情况等,方便整体把握源代码安全情况
NO.2
提供常规和快速两种检测模式。常规模式侧重于覆盖面,快速模式侧重于速率和准确率,显著提高代码检测效率,检测速度可达6W行/分钟
NO.3
扫描平台支持无缝对接企业级扫描引擎,集成自研扫描引擎
NO.4
能够支持配置接入多个AD域进行用户登录认证,减少平台用户管理工作量
产品功能
1、核心检测引擎
在核心引擎方面,使用污点追踪、控制流、语义、配置等分析技术对代码安全缺陷和质量缺陷进行扫描检测,核心检测引擎基于字节码进行检测,检测对象支持仅提交源代码和包含源代码的Jar包、War包。
2、检测项目管理
项目管理功能支持代码来源对接,项目信息配置和项目统计等功能。
3、检测任务管理
检测任务管理模块主要是展示所有的检测任务并进行管理,能够对任务检测进度进行实时跟踪,对检测任务所产生的日志进行收集和查看,并且对检测失败的任务提供重新发起检测功能。
4、检测结果审核分析
在检测结果审核分析方面,能够根据不同的对标类型对缺陷结果进行分类展示,能够对单个或批量检测结果进行打误报标签,从而在后续检测中,自动规避已经出现过的误报。
5、检测报告管理
对每次检测任务,提供了报告生成与下载功能,提供缺陷风险等级、安全缺陷和质质量缺陷、合规对标模板等种条件筛选和下载报告。
6、安全开发流水线集成
在安全开发流水线方面,提供丰富的API接口和插件,包括Eclipse插件、IntelliJ IDE插件,Jenkins插件等,可快速集成到用户的安全开发流程中。
我们的优势
支持将安全规范要求与代码缺陷类型对标映射,兼容CWE/SANS/OWASP 等国际主流安全标准、提供合规检测模块
(1)GB/T 34943-2017 CC++语言源代码漏洞测试规范
(2)GB/T 34944-2017 Java语言源代码漏洞测试规范
(3)GB/T 34946-2017 C#语言源代码漏洞测试规范
(4)GB/T 39412-2020 信息安全技术 代码安全审计规范
(5)GB/T 38674-2020 信息安全技术 应用软件安全编程指南
(6)OWASP Top10 2017
(7)SANS-TOP25 CWE/SANS TOP25
(8)CWE(常见缺陷列表)
1、支持灵活配置扫描策略
包括误报策略、安全卡点策略、合规对标策略等和支持自定义扫描规则等。
2、检测速率
快速模式下平均能达到6万行/分钟,其他厂商在1万行/分钟左右。
3、检测能力
覆盖2400+缺陷类型,其他厂商在几百到1500范围以内。
4、误报率
误报率可以控制在5%—10%以内,远低于其他厂商。