源代码检测分析管理平台

海云安自主研发的源代码平台能够对系统源代码进行一键开始检测，自动结果分析，快速生成报告，以及对发现的代码缺陷的整改给出相应的风险说明和解决方案，并对发现的问题进行管理和整改跟进。源代码检测分析管理平台（SCAP）是海云安自主研发的基于B/S架构的系统，分为前端浏览器访问、内容展示

源代码检测分析管理平台（SCAP）是海云安自主研发的基于B/S架构的系统，分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。从平台整体功能来说，SCAP源代码安全检测系统能够支持C\C++、Java、JS、PHP、SQL等语言代码进行扫描检测，能够对检测后的结果进行展示、审计和整改跟进管理，并且可以对检测和和审计后的结果快速形成报告进行导出。在系统前端，可以实现一键上传代码、提交后台自动扫描检测，并且能够快速生成报告。另外，在平台上还可以根据自动化扫描结果进行人工代码审计，排查误报，对报告的内容进行加工处理，并且可以在平台上可以与多用户进行漏洞确认和修复情况跟进。在系统后端，是结合数据库管理、任务分发管理和源代码扫描引擎于一体的综合性平台。能够根据前端提交的代码自动启动相应的扫描引擎，扫描结束后能够把扫描结果自动入库管理。

从系统的使用特点来说，源代码检测分析管理平台是一个集成一键上传、自动检测、误报加白、扫描结果人工审计、代码漏洞确认、代码修复跟进、检测版本对比、报告导出、漏洞管理、用户管理等功能与一体的综合性检测管理平台。不但适合在开发过程的事中小版本迭代测试管理，而且可以在事后做全版本代码的整体测试管理。

商品核心功能及服务：

平台架构

基于B/S架构，支持IE(9.0及以上版本)、Firefox、Chrome等浏览器访问。

支持检测语言

源码仓库对接

本地上传代码

支持从浏览器一键上传本地代码包，后台自动执行代码扫描分析，支持上传zip、rar、7z、tar等压缩包格式代码包。

IDE开发环境支持

可以支持从VisualStudio、Eclipse、intelliJ、AndroidStudio等IDE插件集成,能够实现一键提交代码扫描。

CI/CD环境集成

1、源代码检测分析管理平台提供丰富的插件和接口与企业现有的研发测试工具链进行集成，帮助企业推动DevSecOps落地。2、能够对接JenkinsCI构建环境，在构建时自动触发提交代码扫描，能够让您在持续集成任务中使用源代码检测分析管理平台检测源代码缺陷，从源头提升软件安全性和可靠性。3、代码支持主流的构建工具集成，如Maven，Gradle，系统可自动获取被测源代码的第三方依赖进行构建。

支持缺陷管理工单系统对接

支持与缺陷工单管理平台对接（如Jira、TFS、禅道等）；检测、审计完成后的结果，可以提交到Jira、TFS、禅道等缺陷跟踪系统中进行缺陷整改闭环。

安全问题误报过滤

代码风险缺陷去重

对于同一个代码工程的多次检测任务，只保留去重后的代码缺陷，基于去重机制可自动验证代码缺陷新增、未修复和修复状态，增强代码风险缺陷闭环管理。

代码审核分析

1、使用大量的过滤分析算法，并提供高效的审计分析交互界面，实现批量审计分析功能；2、在审计分析页面上，能够分析代码漏洞产生的详细路径，并对扫描结果的每个问题能够给出详细的漏洞风险说明和解决方案；3、支持筛选查看原始扫描结果和审计分析结果；4、支持代码安全和代码质量扫描分类筛选审核；5、支持通过代码路径、代码内容，漏洞分类等筛选条件审核扫描结果。

可视化配置与监控

缺陷误报优化

支持对代码扫描误报优化，可以自定义误报过滤规则，自定义规则支持根据风险类型、代码路径、代码内容三个维度进行配置规则，系统使用积累的误报规则对自动化扫描结果进行误报清洗，降低扫描结果的误报率，同时通过版本对比，误报自动加白名单。通过智能分析引擎与代码检测检测引擎相结合，把误报率降低到15%以下。

检测报告报表支持

提供详细的代码风险管理报告、代码风险统计报表、代码漏洞趋势分析报表、代码量统计报表等，对阶段性的检测结果统计分析；根据审计结果可生成源代码审计分析技术报告，报告能够详细定位代码问题，并提供详细的漏洞说明和解决方案；分析报表可以导出为word或pdf格式。

支持检测漏洞标准

默认兼容CWE/SANS/OWASP等国际主流安全标准、提供合规检测模块，支持GB/T38674-2020《信息安全技术应用软件安全编程指南》、CERTC/C++/JAVA等国内编码标准合规检测。

代码质量缺陷检测

支持。代码质量（越界访问、参数未初始化等380种）支持按照安全缺陷、质量问题、错误编码分类对缺陷进行分类显示，能够对检测结果列表进行全文检索。

开源组件安全检测

支持对第三方组件漏洞检测，发现开源组件中存在的公开漏洞。

增量分析检查

基于代码仓库提交的方式，才可以做增量扫描：支持GITSVN的代码进行增量检测；原理是每次根据仓库中每次提交的信息，分析出增量的文件部分，只针对这些文件进行检测；会丢失掉其他文件的缺陷，或者是依赖其他文件才能触发的缺陷。

规则自定义

1、主要安全规则全面且完备；2、可清晰划分、定义和实现安全规则,公开所有规则的实现细节，快速完成安全策略的实现；3、支持代码逻辑和架构分析；4、支持代码安全基线与规则一一对应；5、支持用户自定义代码安全的验证逻辑，并在扫描过程应用这些验证逻辑，清除误报。

AD域接入认证

配置管理

代码检测性能

1、在16C64G的配置下的平均检测速度，大项目4.5万行/分钟，中小项目：1.3万行/分钟；平均：2.5万行/分钟。2、支持分布式部署，根据系统性能配置并发扫描任务数量3、支持每天构建扫描项目量大于600个

修复建议

专业的软件代码修复建议内容，提供多种语言（当前开发语言）的代码修复建议。能够对源代码安全扫描结果进行汇总，并按照问题的严重性和可能性进行威胁级别的划分，如高、中、低等多个级别；能够提供中文的源代码安全问题分类、问题描述及修复建议。

报告内容

检测报告能够根据用户角色分为概要报告和详细报告。概要报告主要包括问题等级及问题类型等基本统计信息，详细报告除了包括问题等级及问题类型等基本统计信息外，还应包括问题分类、问题描述、修复建议、风险点、问题跟踪信息及关键API等详细信息；报告内容可对问题等级、问题类型、修复建议、跟踪路径根据需求进行定制。

第三方工具集成能力

产品资质

全部用户

商品价格=订购区间数量1*区间规格单价1+订购区间数量2*区间规格单价2。

举例：通话费率为不超过3分钟的部分按0.3元/分钟，超过3分钟的部分按0.2元/分钟；如果用户通话8分钟，收取的费用为3*0.3+5*0.2=1.9元。

商品价格=订购数量*数量所属区间单价。

举例：通话费率为不超过3分钟则0.3元/分钟，若超过3分钟则0.2元/分钟；如果用户通话2分钟，收取的费用为2*0.3=0.6元；如果用户通话8分钟，收取的费用为8*0.2=1.6元。