亚洲色图网站-亚洲色图图片专区-亚洲色图图片区-亚洲色图图片-精品久久久中文字幕一区-精品久久久中文字幕二区

序號

大類

小類

具體技術要求

1

插樁檢測能力

語言及模式

1、支持Java、Golang、PHP、Node.js、Python、.Net語言的主、被動插樁檢測；
2、Java語言支持主、被動檢測模式同時運行，可動態(tài)切換或啟停節(jié)點的工作模式。

2

框架支持

1、Java插樁支持Struts2、SpringMVC、SpringBoot、SpringFlux、Playframework、WebSocket、Jersey、Struts、Hibernate等常見框架，支持AFA、AFE等商業(yè)框架，支持SpringCloud、HSF、SOFA、Dubbo、JSF、GRPC、Vert.X、Thrift、WebFlux、Netty等微服務框架，并能檢出漏洞；
2、Node.js插樁支持Express、hapi、Koa、Fastify、Restify、LoopBack、egg等常見框架，并能檢出漏洞；
3、Python插樁支持Bottle、Django、Django Rest Framework、Falcon、Flask、Pyramid、Tornado、WSGI、Fastapi、Hug等常見框架，并能檢出漏洞；
4、Go插樁支持gin、gorilla、echo、httprouter、chi、iris、grpc、beego、gorm、go-ldap、etree、go-zero等常見框架，并能檢出漏洞。

3

中間件支持

1、Java 插樁支持Tomcat、Jetty、Jboss、Wildfly、Weblogic、SpringBoot、Websphere、Resin、Liberty、東方通、寶蘭德；
2、PHP 插樁支持Apache PHP、Nignx+fpm；
3、.Net 插樁支持 .Net Framework 和 .Net Core。

4

漏洞類型支持

1、插樁檢測模式支持命令執(zhí)行、文件讀取/文件下載/文件包含漏洞、XML實體注入(XXE)、服務端請求偽造(SSRF)、代碼執(zhí)行、MondoDB注入、表達式注入、LDAP注入、特定類跨站腳本(XSS)、SQL注入、配置類缺陷、URL重定向、跨站請求偽造(CSRF)、Web組件類漏洞等漏洞類型；
2、支持通過插樁模式檢測弱口令，并可自定義弱口令字典。

5

第三方組件檢測

1、支持Java、PHP、Node.js、Python、Go、.Net語言的運行時第三方組件檢測；
2、支持鏡像倉庫對接，上傳容器鏡像、應用包的方式進行第三方組件檢測；
3、第三方組件檢測提供漏洞詳細信息，包括但不限于：漏洞名稱、漏洞編號、發(fā)布時間、漏洞等級、漏洞描述、攻擊類型、利用難度、修復建議、推薦的版本以及最新版本等信息；
4、第三方組件檢測漏洞庫兼容CWE、NVD、CNNVD、CNVD及開源社區(qū)漏洞，組件庫版本數量不低于8000w+，漏洞庫數量不低于24w+，許可證庫數量不低于1800+。

6

自定義規(guī)則

1、支持自定義檢測策略，建立檢測策略模板；
2、支持自定義敏感信息檢測規(guī)則；
3、支持對內置的漏洞新增輸入、傳播、清潔以及匯聚方法插樁點；
4、支持自定義漏洞檢測規(guī)則，并允許非污點源觸發(fā)檢測策略，以滿足特殊的審計需求；
5、支持過濾規(guī)則配置，用戶可對某些需要過濾的漏洞點進行自定義配置；
6、支持自動識別過濾函數，并支持添加過濾函數發(fā)現關鍵字；
7、支持查看過濾函數源代碼，方便檢查過濾函數有效性；
8、支持添加過濾函數忽略規(guī)則，可更精準識別漏洞狀態(tài)；
9、支持header關鍵字過濾、接口路徑兩種方式自定義漏洞檢測白名單，接口路徑支持批量導入。

7

數據安全檢測

1、內置手機號、身份證號、銀行卡號、郵箱等十種敏感信息泄露規(guī)則；
2、支持多種格式自定義敏感信息，包括正則表達式、Json字段；
3、支持配置全量檢測和抽樣檢測兩種方式，抽樣檢測支持自定義請求次數進行抽樣。

8

自定義數據安全檢測

1、敏感信息檢測位置支持自定義配置，包括請求（header、query、body）響應（header、body）等具體位置；
2、支持敏感數據分類分級管理；
3、內置基于國標/行標的敏感數據分類分級規(guī)則，并支持自定義修改；
4、支持配置敏感數據檢測白名單，并支持批量導入。

9

流量檢測能力

檢測模式

流量檢測支持代理/VPN，旁路流量鏡像，主機流量嗅探，實時Web日志分析，啟發(fā)式主動爬蟲等多種檢測模式。

10

檢測任務配置

1、支持自定義檢測范圍，可配置對請求、限定目錄、目標域、全域、全網檢測；
2、支持自定義檢測粒度；
3、支持自定義檢測時間，可配置延時開始檢測任務，及不進行檢測的時間段，未來檢測時間可精確到秒；
4、支持配置漏洞檢測模板，自定義要檢測的漏洞類型，并內置GDPR、CWE、PCI DSS、OWASP TOP 10等模板；
5、支持自定義漏洞點、URL、任務的檢測超時時間；
6、支持配置用戶憑證后提交重新檢測，使用重新檢測功能對已有漏洞進行回歸測試、對全部URL進行重新檢測，或對目標進行重新檢測；
7、支持同一檢測目標支持檢測結果對比，可選擇任意一次檢測歷史進行比較，直觀展示漏洞風險情況；
8、支持對sql注入、文件上傳、web shell等漏洞自動化漏洞利用；
9、支持配置爬蟲黑名單及檢測URL白名單。

11

漏洞類型支持

1、流量檢測模式支持命令執(zhí)行、服務端請求偽造(SSRF)、存儲型跨站腳本(XSS)、特定類跨站腳本(XSS)、文件讀取/文件下載/文件包含漏洞、SQL注入、XML實體注入(XXE)、Web組件類漏洞、典型數據庫類漏洞、典型CMS類漏洞、OA系統(tǒng)類漏洞、特定類系統(tǒng)服務配置缺陷、代碼執(zhí)行、業(yè)務邏輯類缺陷、特定類WebDAV不安全配置、特定類文件上傳、Bluekeep漏洞、永恒之藍漏洞、心臟滴血漏洞、Shellshock漏洞（破殼）、Coremail漏洞等；
2、流量量模式支持弱口令檢測，可配置自定義弱口令字典。

12

應用與插樁管理

應用管理

1、支持應用分組管理，新應用上線自動加入組；
2、支持自定義應用組加入規(guī)則，以應用名稱、應用負責人配置規(guī)則，便于應用分組維護。

13

應用版本管理

1、支持應用版本管理功能，支持探針自動識別版本，支持添加版本別名；
2、支持展示應用的所有版本，幾個版本下的所有漏洞信息；支持版本之間的漏洞情況對比，及同一漏洞的污點數據流信息對比；
3、支持依據應用版本導出報告。

14

API識別檢測

1、支持通過探針和流量兩種方式對API識別梳理；
2、支持計算展示API測試覆蓋率。

15

插樁部署管理

1、支持單獨/批量操作Agent熱更新，支持界面上傳更新探針；
2、支持單獨/批量操作Agent熱卸載；
3、提供云原生場景下探針批量/自動部署方案，支持多種方案在Docker容器內部署Agent，支持利用Kubernetes Operator機制方式部署Agent，可自動將Agent注入到目標 POD 中，無需修改原有部署流程、原始鏡像等，可以支持 POD 的自動擴容和負載；
4、支持Agent的上線權限管控，可審批Agent是否上線。

16

插樁批量管理

1、支持Agent的全局熔斷配置與檢測設置批量管理，包括漏洞驗證、函數調用棧等；
2、支持單獨或批量配置探針模式，支持切換主動、被動、應用防護模式；
3、支持單獨或批量修改Agent策略，包括檢測策略和防護策略；
4、支持單獨或批量修改 Agent 日志記錄功能以及調整日志級別。

17

插樁熔斷管理

1、提供探針熔斷機制開關，支持針對 CPU、QPS、內存、GC對探針做熔斷降級處理，在業(yè)務訪問壓力較大時，自動關閉探針功能，待業(yè)務恢復正常后探針也自動恢復檢測功能
2、支持限流控制保護，當訪問流量QPS過大時，對高頻的流量進行檢測限制?？膳渲冒ǖ幌抻谡埱驢ook限流閾值，高頻流量限流閾值，并支持令牌桶機制配置每秒令牌時間，同時提供自定義配置限流解除時間。

18

插樁環(huán)境信息管理

支持展示插樁節(jié)點所在運行時環(huán)境中操作系統(tǒng)、運行時環(huán)境變量信息。

19

漏洞管理

漏洞信息管理

1、支持編輯漏洞詳情信息；
2、支持展示污點源的參數；
3、支持在污點數據流中添加并下發(fā)虛擬補?。?br /> 4、支持對同一類型的多測檢出的漏洞進行漏洞合并；
5、支持漏洞狀態(tài)管理，可根據實際使用場景自定義漏洞狀態(tài)（已修復、未修復、誤報、存疑、已確認等）；
6、支持對漏洞添加多條審計內容，并支持漏洞復測時繼承審計內容；
7、支持對已添加的漏洞審計內容進行編輯和刪除；
8、支持基于插樁探針維度，以Sitemap結構展示漏洞檢測結果。

20

漏洞回歸與驗證

1、支持對已檢測任務、已檢測插樁應用的整體回歸測試，包括全部請求回歸測試、所有漏洞回歸測試，快速協(xié)助技術人員完成漏洞排查與復測；
2、支持提供漏洞發(fā)現，漏洞復現、自動驗證等功能，覆蓋漏洞生命周期中的每個階段。

21

漏洞鏈路追蹤

1、支持分布式框架下的漏洞全鏈路追蹤；
2、支持不同插樁語言節(jié)點間的漏洞全鏈路追蹤；
3、至少支持 Dubbo、gRPC、Thrift、Open Feign 等常見框架協(xié)議。

22

自定義漏洞信息

支持自定義漏洞類型與漏洞信息，并配置檢測規(guī)則。

23

漏洞拓撲

1、支持基于插樁實時繪制拓撲圖，動態(tài)展示多節(jié)點、數據庫、服務器之間的連接關系；
2、支持拓撲圖中快速查看插樁節(jié)點檢出漏洞、攻擊事件和敏感數據信息。

24

漏洞修復

1、漏洞修復可提供安全 SDK 和相關漏洞修復手冊，使用安全 SDK 后，相關漏洞可以實現快速修復。
2、支持自定義流量級別漏洞熱修復，能夠在 URL、HTTP Method、Param、Headers、Request Body、Status Code等位置增加自定義判斷邏輯；
3、支持自定義插樁級別漏洞熱修復，能夠對特定函數參數、返回值、函數調用棧增加自定義判斷邏輯；支持流量和插樁多個條件組合判斷的虛擬補丁，以保證復雜情況下，漏洞熱修復的處置效果。

34

報告管理

報告格式

報告格式支持Word、PDF、Excel、Html、Xml、Json格式。

35

報告樣式

1、支持自定義報告，支持個性化設置報告封面、報告標題、頁眉文字、報告Logo、頁眉Logo等；
2、支持添加自定義報告水印。

36

報告內容

1、生成報告時支持對漏洞等級、漏洞狀態(tài)、驗證狀態(tài)進行篩選，生成指定類型漏洞的報告；
2、支持將對漏洞等級、漏洞狀態(tài)、驗證狀態(tài)的篩選內容存為自定義報告模板，流量類、插樁類、組件類均支持報告模板。

37

報告生成

產品提供使用手冊和必要的操作引導。

38

完成性校驗

支持使用安全的哈希算法生成報告完整性校驗碼，并支持界面上傳校驗。

39

對接管理

DevOps對接

1、支持藍鯨、GitLab、Jenkins、Coding、云效、博云等DevOps平臺對接，并有成熟的對接案例，Jenkins對接支持自定義選擇漏洞狀態(tài)、檢出模式等選擇配置質量紅線；
2、支持從DevOps平臺獲取檢測結果和報告，提供對應應用詳情跳轉鏈接。

40

第三方平臺對接

1、支持將漏洞信息推送至第三方kafka；
2、支持與Jira、禪道等第三方漏洞平臺對接，支持展示漏洞同步狀態(tài)和第三方平臺的問題id。

41

系統(tǒng)管理

消息通知

1、支持自定義消息通知配置，通知內容包括應用漏洞檢出、檢測任務結束、節(jié)點通信中斷、節(jié)點熔斷；
2、通知方式支持站內通知、郵箱通知，Webhook支持釘釘、企業(yè)微信、飛書和其他支持Webhook協(xié)議的平臺。

42

個性化配置

1、支持不同色彩主題的換膚功能；
2、支持配置平臺地址欄icon、登錄頁、平臺信息等。

43

日志審計

支持查看、導出操作日志、系統(tǒng)日志，支持設置定時清理策略。

44

用戶角色管理

1、支持通過建立角色配置用戶權限，可區(qū)分查看、編輯、刪除、添加、分享、導出權限；
2、支持按照部門管理用戶，支持為部門配置默認角色；
3、支持用戶批量啟用、禁用、修改部門等操作。

45

部署管理

部署方式

支持單機部署與分布式集群化部署，適應高可用、高并發(fā)應用業(yè)務場景。

46

部署形態(tài)

支持業(yè)務平臺的部署形態(tài)查看與管理。

47

信創(chuàng)支持

1、支持歐拉、銀河麒麟、鯤鵬操作系統(tǒng)部署；
2、支持Oceanbase、TDSQL、達夢、GoldenDB數據庫部署；
3、支持TongWeb中間件部署。

48

并發(fā)檢測

支持高可用架構部署，可至少支持20000以上的節(jié)點并發(fā)。

49

網絡協(xié)議

支持IPv4、IPv6網絡協(xié)議。