长亭洞鉴（X-Ray）代码安全检测系统

1 产品概述

长亭洞鉴（X-RAY）代码安全检测系统是全新一代静态应用安全测试（SAST）解决方案，主要用于软件代码安全审核和质量分析，提供漏洞详情和代码级修复方案，帮助开发和安全团队在S-SDLC的早期发现并修复漏洞，提升软件代码安全质量。长亭洞鉴（X-RAY）代码安全检测系统全面覆盖大多数主流编程语言，支持多达2000+种安全漏洞和安全编码标准/规范的检测；扫描结果精准呈现，界面简明易于操作；提供多种集成方式，更加适用于DevOps场景。

长亭洞鉴（X-RAY）代码安全检测系统采用软硬件一体部署方式，基于B/S架构访问，检测时无需安装客户端，使用浏览器打开部署地址即可，对测试人员使用的操作系统类型没有要求，采用分布式扫描引擎，支持无限扩展扫描能力，适应大并发量的场景。

1.1 支持编程语言种类多

支持代码语言C、C++、Objective-C、C#、Java、Java（Android）、JavaScript、PHP、Swift、Go、Python、Cobol、TSQL、PL/SQL、JSP、ASPX、node.js、vue.js、react.js、html、xml、Ruby、abap、perl、Groovy、actionscript、apex、cfml、scala等主流开发语言，支持SQL注入、跨站脚本、路径遍历、缓冲区溢出、空指针解引用、变量未初始化使用、硬编码等2000多种的缺陷检测，覆盖绝大多数应用场景。

1.2 支持第三方库和开源组件扫描

长亭洞鉴（X-RAY）代码安全检测系统在对源代码进行安全漏洞分析的同时，自动扫描软件系统引用的第三方开源组件，并分析这些组件是否包含已知的安全漏洞。

1.3 多次扫描差异分析

长亭洞鉴（X-RAY）代码安全检测系统可以对同一项目进行多次扫描，一般地，一个项目会历经至少一轮“扫描→修复→扫描”的循环。长亭洞鉴（X-RAY）代码安全检测系统支持对同一项目多次扫描的结果进行比对，掌握漏洞修复情况。

1.4 支持多项目并发扫描，提高扫描效率

长亭洞鉴（X-RAY）代码安全检测系统支持同时部署多个扫描引擎（水平扩展，扩展数量不限），支持多项目并发扫描，成倍提高扫描效率，减少排队等待的时间，适合SaaS部署，提供云上的检测服务。

1.5 支持编码合规性检测

编码规范也是软件代码质量的重要考量因素之一，部分漏洞会因为编码不规范而引起。长亭洞鉴（X-RAY）代码安全检测系统支持对Java语言源代码进行编码合规性检测。

1.6 提供详细的漏洞数据流

用户可查看跟踪漏洞的成因，跟踪数据流的传递，更便于理解漏洞发生的原因，定位到漏洞引入、传播和发生的过程，找到最佳修复点。

1.7 支持自定义扫描报告内容

长亭洞鉴（X-RAY）代码安全检测系统支持导出4种格式的扫描报告，即PDF、Word、XML、Excel，其中PDF和Word格式报告可以根据用户的需要，选择扫描报告包含的内容模块。所有类型的报告均可以根据报告配置、漏洞分类、任务扫描时间、漏洞级别、漏洞状态等维度自定义报告内容，尽可能满足各种应用场景对报告内容的要求。

2 产品规格

硬件规格
尺寸                                                          1U
固定接口                                                  2GE
电源                                                  冗余电源
工作温度                                             0〜40℃
存储温度                                          -20〜80℃
相对湿度                                         10%〜90%
功率                                                       250W
软件规格
支持代码语言（支持代码语言C、C++、Objective-C、C#、Java、Java（Android）、JavaScript、PHP、Swift、Go、Python、JSP、ASPX、node.js、vue.js、react.js、html、xml、Ruby、abap、perl）。
支持2000+种漏洞类型，包括不限于：SQL注入、跨站脚本、路径遍历、缓冲区溢出、空指针解引用、变量未初始化使用、硬编码等常见漏洞。
支持按严重等级、OWASP Top10 2021、OWASP TOP10 2017、CWE/SANS TOP25 2011、PCI3.2.1、GB/T39412-2020、MISRA C和CWE进行分类展示。
支持任意两次扫描结果的对比分析，对比的维度包括：开始扫描时间、结束扫描时间、代码总行数、漏洞总数、各个严重等级对应新发现，复发和解决的漏洞数量。
不依赖编译环境执行扫描源代码。
支持检测对象源码本身的检测和Java语言编译生成的字节码二进制文件进行检测。
支持安全缺陷规则自定义来扩展系统安全缺陷检测规则，扩展规则包括：缺陷规则名称、缺陷规则文件、严重等级、缺陷描述和修复建议。
支持在代码审计过程中识别出代码中引用的第三方开源组件及其漏洞，并提供修复建议，并对开源组件升级兼容性进行风险评估。
支持中文漏洞描述，描述中包含详细的漏洞信息、可行的修复方案和代码示例。
支持查看漏洞详情及污点轨迹图，并定位到具体的代码行，便于污点溯源分析。
平台提供代码审计功能，支持根据实际情况对漏洞进行标记，并将漏洞状态修改为：待确认、已确认、已处理、可疑、误报，以及对漏洞添加备注。
支持漏洞流转，把经过复核的漏洞通过邮件的方式发送给对应的人员。
同一个项目的审计信息（审计状态）支持携带到下一次扫描结果中
包含数据中心功能，可按条件组合查询扫描项目漏洞信息，并支持导出Excel格式报表。
支持对团队数量、项目数量、安全缺陷数、违反安全编码规则数量、第三方组件库数量及其对应的漏洞数等维度的统计。
支持以图表的形式展示企业缺陷总数、各等级缺陷数量及占比。
支持以图表的形式展示团队缺陷检出量排行Top5，并呈现各个团队各等级缺陷的数量。
支持项目风险值的走势分析。
支持PDF、Word、XML、Excel格式的报告。
支持自定义报告模板功能。包括但不限于报告的logo、左右页眉设置、报告水印设置、是否显示企业名称和是否显示团队名称等设置。
提供用户权限管理功能，按照角色分配用户系统的权限；支持自定义角色权限；平台具备代码审计员角色功能，能够对目标项目有审计能力；同时支持多个团队项目之间数据隔离，不同团队无法越权查看。
支持分布式部署扫描引擎，可在系统界面可以新增和配置引擎。