湖北武汉武汉大学代码安全分析工具Veracode项目单一来源方式采购征求意见公示
查看隐藏内容(*)需先登录
武汉大学采购与招投标管理中心受软件工程国家重点实验室委托,拟采购代码安全分析工具Veracode,使用单位申请单一来源方式采购,现予以公示。一、采购内容:代码安全分析工具Veracode技术要求:*. 无运行代码方式下通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标。*. 支持自动静态二进制分析,评价由链接库、APIs、编译器最优化和第三方控件推出、源代码测试无法识别的漏洞。*. 无源代码的应用程序的安全性。*. 高度的精确性和覆盖范围的二进制分析*. 检测隐藏的后门程序和恶意代码*. 支持向量式数据抓取和审计技术*. 具备精确扫描和自动学习功能主要功能指标:代码安全分析工具Veracode主要包括下面三个部分:*、静态二进制分析,使企业可以在一个易于使用的平台上进行应用程序的安全诊断,作为企业正式软件的发布、验证或验收过程的一部分。这无需提供源代码或其他知识产权。*、二进制分析创建了一种行为模式,该模式通过利用可运行的机器代码分析应用程序的控制和数据流得到的,是一种攻击者可以识别的方式。与源代码分析工具不同,这种方法精确地检测导致核心应用程序和覆盖范围扩展在第三方库、预包装组件、编译器或平台的具体说明引进代码的漏洞。*、集静态和动态测试于一体的统一UI和解决方案 系统构成及设备配置:代码安全分析工具Veracode 软件 *套二、拟采购货物或服务的说明软件工程学科的不断发展,新技术不断涌现,随着软件工程国家重点实验室原有的基于RUP软件测试方法及STAF自动化测试框架的不断研究深入,现有的软件测试平台亟需通过融入更多先进的软件工程方法和数据驱动型测试框架、代码质量复审、软件分析及验证方向相结合,形成适用于SOA模型云计算测试环境下的软件质量保证实验平台,进一步提升的软件质量控制与软件质量管理。建设稳健优良的测试体系和与之匹配的测试方法、引进先进代码安全分析检测工具则又是保证软件系统质量行之有效的必经途径,该工具集拥有以下业界优势及特点:Veracode Static静态分析程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。Veracode提供了一种从根本上更好的应用程序安全测试方法,利用我们的专利技术——自动静态二进制分析,这被业内称为类似Gartner的“突破”。通过查看 “最后”编译版本的代码,Veracode可以评价由链接库、APIs、编译器最优化和第三方控件推出、源代码测试无法识别的漏洞。这种是业内最准确,最完整的安全测试方法。高度的精确性和覆盖范围的二进制分析:二进制分析创建了一种行为模式,该模式通过利用可运行的机器代码分析应用程序的控制和数据流得到的,是一种攻击者可以识别的方式。与源代码分析工具不同,这种方法精确地检测导致核心应用程序和覆盖范围扩展在第三方库、预包装组件、编译器或平台的具体说明引进代码的漏洞。检测隐藏的后门程序和恶意代码:软件开发是多进程的,这也使得威胁的类型层出不穷,如那些来自恶意代码或隐藏的后门程序的威胁。传统的工具是不可能发现的,因为它们在源代码中不可见。这是首次企业可以在应用程序的最终形式中利用静态二进制分析检测到这些威胁。全面整合与动态分析:与独立操作的网络扫描不同,Veracode是唯一一个集静态和动态测试于一体的解决方案供应商。对于最全面的安全覆盖范围,重要的是可以静态并动态地测试您的软件。 Veracode的静态分析是综合了动态分析方法,使企业能够利用多种评估方法彻底地测试他们的应用程序,从而得到全面的结果、级别评定和测试报告完全自动化:Veracode的动态扫描是完全自动化的。其他工具,即使第三方“托管”的,都需要人工介入,以扫描和正常运作。用户只需提供一个URL,Veracode的先进的扫描技术会分立即执行分析,并提供最准确的和可操作的结果。基于以上解决方案的具体特点,我们认为其采购的必要性和效益如下:*、首屈一指的自动静态二进制检测专利技术的引入,可以解决当前传统工具无法进行无源码环境下的DLL渗透安全检测问题。由此,实验室可以承接无源码应用的安全检测研究项目,当前湖北省科研教育机构尚无法承接该类评估检测类项目,我实验室可以实现独家符合承接该任务的承接机构。*、业界独家静态分析与动态工具一体化解决方案,为实验室节省独立采购静态分析工具和动态分析工具的资金,一体化解决方案避免的应用集成以及WorkSpace切换问题,节省研发时间。*、代码安全检测是软件质量保证的重要环境,作为安全性测试新的研究领域,采购并用好该软件是实验室立足新的科研制高点的重要一步。三、采用单一来源采购方式的原因及相关说明为了加强实验室代码质量复审评估服务能力,软件工程国家重点实验室拟采购一套代码安全分析检测工具。该系统需要解决研究过程中的技术难题:在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标,从而达到无源代码的应用程序的安全性检测,以及有源代码环境下的精确地检测导致核心应用程序和覆盖范围扩展在第三方库、预包装组件、编译器或平台的具体说明引进代码的漏洞。通过充分调研,目前只有Veracode公司生产的代码安全分析检测工具能够满足实验室对代码质量复审评估这种功能的需求。该工具集是业界首屈一指的技术工具集,是满足日益严苛的最复杂代码安全质量检测评估的理想之选。故建议采用单一来源方式购置。*、拟定唯一供应商名称、地址。供应商:******地 址:武汉市洪山区街道口南路*号*、公示期:****年**月**日至****年**月**日**时 如有其他潜在供应商对本项目采用单一来源方式采购有异议,应在公示期内以书面形式向武汉大学采购与招投标管理中心提出。 项目经办人:肖老师 吴老师 电话:***-********,******** 传真:***-********技术负责人:何璐璐 ***********地址:湖北省武汉市武昌区八一路***号 邮编:****** 武汉大学采购与招投标管理中心
