雳鉴SAST静态应用安全检测系统-产品介绍

1 产品架构
雳鉴SAST核心部分由云端安全管理平台，代码安全分析引擎，代码仓库监控引擎，数据存储中心，代码漏洞知识库等组成。

云端安全管理平台负责项目代码安全检测的统一管理，代码分析检测引擎的检测策略，漏洞生命周期的闭环管理，代码审计，报告输出以及与代码版本管理系统对接；代码仓库监控引擎负责拉取用户代码仓库中的代码，实时监控代码仓库的变化情况，获取代码相关信息；代码分析检测引擎负责源代码的安全分析检测，软件成分的识别与安全检测；数据存储中心负责保存用户数据；代码漏洞知识库负责存储漏洞详情，漏洞等级，漏洞样本，修复建议，代码示例等基础数据信息，协助开发人员修复漏洞。

2 产品组成与结构
雳鉴SAST由项目管理模块，风险管理模块，风险扫描模块，软件成分管理模块，系统管理模块五个大模块组成。项目管理模块负责代码安全检测与统一管理，项目包含详情、模块管理列表和扫描任务列表，可在任务中设置代码分析引擎的相关检测策略；风险管理模块包含对安全漏洞、代码规范风险、软件成分风险的生命周期闭环管理，从漏洞发现、确认、修复、复检，覆盖漏洞生命周期的各个环节；风险扫描模块负责对源代码进行分析，进行安全检测；软件成分管理模块负责对项目中扫描出的软件成分进行分析统计及管理；系统管理模块负责账号权限、报表、安全组件、日志审计、 消息通知 、系统配置等相关管理策略。

2.1 项目管理模块
项目管理模块可根据项目/模块/任务维度进行管理，包括新建项目，项目列表展示。

单个项目中包括项目详情展示，模块管理列表展示，扫描任务列表展示以及扫描任务创建。

新建项目功能支持修改项目名称及项目成员；

项目列表支持展示归属人，模块数，扫描任务数、漏洞修复占比等信息；

项目详情项目包括基础信息展示，图表分析，风险列表展示，软件成分列表展示等功能，支持安全软件开发流程管理，包括单项目整体安全情况，关注安全漏洞的收敛情况，同时可反映产品迭代过程中安全问题的爆发和修复趋势，且支持与第三方devsecops工具链对接；

模块管理列表支持展示仓库地址（代码标签）、风险等级、各类风险数量等，可查看单模块详情中各任务比对详细信息，支持设置模块定时扫描；

注：模块展示的信息为同地址（获取代码方式为：GIT/SVN /TFS/MERCURIAL）的任务比对信息或同标签（获取方式为：上传代码）的任务比对信息。

扫描任务列表支持展示仓库地址（代码标签）、风险等级、各类风险数量等，可查看单任务详情，包含扫描代码行数、千行代码漏洞数、任务动态等；

新建扫描任务功能，支持任务代码仓库SVN/GIT/TFS/Bitbucket地址的测试，或通过上传文件创建任务。可设置扫描的语言类型，可设定单任务扫描时长，可选择检测的漏洞类型，对代码进行针对性安全检测。同时支持选择自定义检测模板进行专项项目检测（无需多次配置同类项目扫描参数）。

2.2 风险管理模块
风险管理模块包括风险统计概述，风险图表分析，风险详情、风险列表以及通用安全组件等功能，提供对漏洞生命周期的全流程管理，包括漏洞的自动发现，漏洞详情，漏洞重新检测，漏洞确认，漏洞分享等功能。

风险统计概述展示项目总数，扫描的代码行数，风险数，未修复风险数；

风险图表分析包含风险Top5项目，千行代码漏洞数Top5，重现漏洞类型Top5，项目修复漏洞数Top5，项目漏洞修复率Top5；

风险详情包括展示风险基本信息，风险描述，修复建议，代码示例，风险回溯，帮助研发人员定位问题；

风险列表包括展示项目名称，代码位置、风险类型、所属语言等信息，以及风险操作，包括进行风险分享，查看风险详情，风险忽略，批量忽略或恢复处理；

支持一键同步漏洞至JIRA和禅道。

2.3 风险扫描模块
雳鉴SAST漏洞检测模块目前支持JAVA/PHP/Python/C/C++/C#语言代码安全检测，支持设定代码被扫描语言类型，可检测漏洞种类包括SQL注入，跨站脚本，命令执行，反序列化等292个大类，3500多条漏洞检测策略，同时包括软件成分安全检测，和数万条开源组件漏洞检测策略。

雳鉴SAST漏洞检测兼容以下3个国际标准或规范：

CWE(Common Weakness Enumeration):常见漏洞列表，是继CVE之后的又一个安全漏洞词典。CWE 为程序员和安全从业者提供了一个有条理的软件漏洞类型库。CWE 旨在让人们更好地理解软件缺陷并创建能够识别、修复以及阻止此漏洞的自动化工具。 

OWASP TOP 10:开放式 web 应用程序安全项目十大安全漏洞列表，是 OWASP 最重要的项目之一。OWASP TOP 10 不但总结了web应用程序最可能、最常见、最危险的十大安全隐患，还包括了如何消除这些隐患的建议。 

CWE/SANS TOP 25 Most Dangerous Software Errors:CWE/SANS 25种最危险的编程错误，是很多顶级软件安全专家共同合作的成果。CWE/SANS TOP 25 可以帮助程序员编写更安全的代码，帮助用户衡量软件是否安全。

2.4 软件成分管理模块
软件成分管理模块包含软件成分列表、依赖检测。

软件成分列表包括软件成分信息统计，软件成分图表分析，软件成分风险，软件成分列表以及软件成分详情等功能，提供对软件成分的管理，包括软件成分详情，分享，报告导出，一键重新检测等功能。帮助项目管理者把控第三方组件使用情况和最新安全风险，督促研发人员及时更新或者修复软件成分带来的相关安全风险。

软件成分信息统计包括支持展示总软件成分数，涉及项目数，风险软件成分数；

软件成分图标分析包括软件成分使用数量Top5，软件成分风险等级分布，开源许可证分布TOP10，开源许可证风险等级分布可视化呈现；

软件成分风险包含库名，风险等级，所属语言，风险类型，当前版本号，最新版本号，开源许可证，所属项目等信息；

软件成分列表展示软件成分详细列表，支持一键重新检测并根据漏洞名称进行搜索，在新漏洞公布后帮助企业确认受影响的第三方组件，完成1day响应；

软件成分详情包括软件成分基础信息，漏洞列表，引用位置，所属项目等。软件成分漏洞列表包含漏洞的详细信息，帮助研发人员快速定位安全问题，及时更新软件成分。

依赖检测页面支持用户搜索第三方库包含的漏洞信息。

2.5 系统管理模块
系统管理模块包括系统信息，账号管理，报告管理，消息通知，网络测试，系统升级，依赖包配置，自定义配置，日志审计，帮助中心等功能，帮助系统管理者更清晰的了解漏洞情况和更方便的使用系统。

系统信息帮助使用者实时关注雳鉴平台使用情况，包括CPU占用率，网络带宽情况，内存使用率等；

账号管理功能帮助项目管理员将项目的安全问题分配给相应的研发人员进行确认和修复，从而在企业IT部门内部建立起一套完整的安全测试流程，不同的用户可于管理页面直观清晰了解所有项目的漏洞情况，契合软件开发流程中的人员角色分配；

报告管理支持生成并下载多种格式的项目安全检测报告，模块安全检测报告，任务安全检测报告，软件成分信息报告等；

系统升级功能支持通过离线升级包快速升级，实时专人在线保证雳鉴平台升级；

依赖包配置功能支持用户上传任务所需依赖包，配置nexus仓库，以提升任务的扫描效果；

 系统自定义支持用户自定义上传LOGO、编辑页面关键词信息及权限设置等；扫描模板自定义支持用户自定义配置扫描模板，以便于单项目或单语言的专项扫描；风险自定义功能支持用户自定义风险详情，以适用于企业内部的安全代码体系；

 日志审计功能支持对雳鉴SAST用户的操作日志做存储记录，以便后续对日志进行审计，帮助系统管理人员发现异常操作，及时处理；

网络配置和系统配置功能让雳鉴平台可根据各种业务环境调整配置，适应各种网络环境。

3.1  与开发流程整合
雳鉴SAST支持通过本地上传代码检测，支持SVN/GIT/TFS/Bitbucket等代码仓库源代码检测，支持对代码仓库中的代码进行不同时段的安全体检，并自动聚合同地址（或同标签）任务生成比对信息，实时反馈至雳鉴SAST云端安全管理平台，根据代码位置，代码提交人和数据流调用关系，代码示例等，帮助研发人员定位问题，及时修复漏洞。

在不改变原有的研发流程情况下，无感知的对代码仓库进行安全检测，最大限度的减少研发人员的额外工作量，完美融入研发流程，全面覆盖研发人员在编码中和编码后的安全问题。如图3所示：

3.2 漏洞生命周期管理
雳鉴SAST云端安全管理平台提供漏洞生命周期闭环管理，从漏洞发现，漏洞详情，漏洞确认，漏洞修复，到漏洞重新检测，覆盖漏洞从产生到被正确修复的各个阶段，保证安全问题完全闭环，同时提供漏洞描述，修复建议，缺陷代码示例，正确代码示例，程序控制流展示，漏洞代码详情等漏洞详细信息，帮助开发人员更快的理解漏洞和修复漏洞，减少安全人员与开发人员的沟通成本，开发人员自己就可以完成漏洞修复。

3.3  软件成分管理
雳鉴SAST支持对任务中的软件成分进行检测，提供对软件成分的管理，包括软件成分的风险等级、所属项目、版本号、开源许可证等详细信息，并且可于列表一键重新检测，同时提供软件成分漏洞的详细信息，支持展示软件成分在不同项目中的引用信息，软件成分图表分析包括软件成分风险等级、使用情况、开源许可证、版本状态等信息的可视化展示，支持软件成分的分享及报告导出等操作。 

管理者可以在雳鉴SAST云端管理平台上对软件成分进行可视化管理，把控项目使用软件成分的整体使用情况和相应的安全问题。

3.4  报告与报表管理
雳鉴SAST支持自动对源代码安全问题进行分析，可输出项目报告、模块报告、任务报告。