软件安全风险管理，一款基于云原生建设的应用安全态势管理（ASPM）解决方案，覆盖了软件的全生命周期管理流程，包括软件安全、软件质量、软件性能等，实现对软件风险的标准化、可视化和智能化管理。

平台可集成多种检测工具和检测场景，统一用户体验，支持多租户部署和集团企业私有化部署，可进行跨项目、团队和工具整合漏洞报告及管理。

一、方案优势

1、支持大规模并行开展多种类型的检测任务

基于云原生、多租户、高可用高并发设计，支持多种开源、商用的检测工具的集成，以策略编排调度进行任务的驱动，支持大规模地并行开展多种类型的检测任务。

2、支持多种开源、商业检测工具的标准化接入，工具种类覆盖广泛

集成超过20种开源检测工具，覆盖SAST、DAST、FUZZ、Benchmark、容器安全等多种检测工具，对相关结果进行标准化处理。

3、统一的用户体验

提供机构化的管理平台，统一管理工具注册，多种测试结果报告，最终以统一的方式进行结果展示。

4、多种协议以及SCM的支持

支持主流GIT协议的服务，包括gitea、gogs、gitea、gitlab等多种常见的源代码存储，支持SCM方式以及钩子回调的方式进行检测任务的触发。

5、符合多个行业标准，支持多种安全标准规范以及代码标准规范

安全标准规范：CWE、CWE-TOP25、OWASP TOP 10 2021、GB/T 34946-2017、GB/T 34943-2017、GB/T 34944-2017、GB/T 39412-2020；

代码编码规范：GJB 5369、GJB 8114、MISRA C、MISRA C++、Cert Java、ISO/IEC TS 17961。

6、国产自主可控

源自国防科大理论实践的完全自主知识产权产品，打破国外厂商行业垄断，采用云架构技术，支持麒麟、天脉、翼辉、深度等国产操作系统，支持各种第三方DevOps平台集成与使用。

二、方案功能

1、租户管理

平台是面向云原生、多租户的SaaS平台，租户用于组织和管理两种角色对资源进行组织和管理，包括检测工具提供方、检测工具使用方，不同的租户之间实现资源隔离。

2、项目管理

提供“检测项目-待测软件-检测目标”三层结构化的管理与配置能力，更好适应不同企业组织的研发管理需求。

3、检测目标管理

支持所有主流的源代码/待测目标的存储方式，并通过API实时关联代码仓库的分支信息，支持多种研发环境的集成。

4、检测引擎编排能力

支持在不同研发阶段定义不同的检测引擎；

支持语言识别并自动推荐相关检测工具；

支持检测工具的高级编排与执行，包括不同检测引擎所需的资源以及并发数量；

支持任务的高并发，多种检测任务的大批量运行以及统一管理。

5、检测报告一键生成

支持多种检测工具结果的聚合以及检测报告定制，生成符合GJB5000B、GJB438B等标准的检测报告，支持报告一键导出。

三、方案指标

1、支持公有云部署和私有化部署；

2、支持多租户注册，支持检测工具类型的租户自主注册相关的工具产品；

3、内置支持超过10+开源工具的集成以及不少于2种商业工具的集成；

4、支持不同项目下，检测工具的自定义编排和运行资源的配置；

5、支持高可用、高并发、动态扩缩容等特性，支持根据硬件的配置实现检测性能的线性调整；

6、支持GJB8114、GJB5369静态规则检测，支持SCA、支持容器安全等；

7、支持DevOps集成，支持Git协议的代码仓库服务器，提供API供外部流水线进行集成；

8、支持麒麟、天脉、翼辉、深度等国产操作系统，支持各种DevOps平台的深度集成。

1、基于云生建设一站式平台，提供简化的开箱即用的工具全家桶，对外提供PaaS、SaaS服务，

2、集成 SCA、SAST、FUZZ、性能测试、IDE插件等多种工具，与多种外部研发工具进行对接

3、全生命周期覆盖 软件安全（Security） 软件质量（Quality） 软件性能 （Performance）等

4、提供360度全景洞察分析，让用户能够了解项目和代码的风险状况，及时监控与决策