海云安源代码检测分析管理平台（SCAP2000V2）（以下简称“平台”）是一款针对源代码进行静态安全检测的产品，可实现一键上传源代码自动检测并输出安全检测报告（包含漏洞整改建议），帮助企业开发或安全管理人员快速、精准定位问题代码位置，并整改安全漏洞。

(1)产品架构

平台基于B/S架构的系统，分为前端浏览器访问、内容展示和后台检测引擎、服务端管理等两大模块。

(2)产品检测能力 

平台具备强大的检测能力，可对代码缺陷、代码质量、开源组件、木马后门进行检测。平台涵盖20+种语言、2400+种缺陷类型及5000+种开源组件。风险类型参考来源CWE、OWASP、SANS、PCI DSS、STIG、NIST等。从项目包中识别开源组件，对用户选择在项目中使用的开源组件进行管理，对项目和组件2层许可证进行识别，构建组件之间的依赖关系。

(3)产品核心技术 

平台检测技术主要采用多源多层次的分布式检测分析引擎、多任务多引擎同时检测、使用多种方式过滤误报、多次审计结果自动对比等。    

(4)应用场景及价值

平台主要应用于自研软件开发、软件外包开发、国产替代等多个场景，其核心价值包括：1）可全面、快速检测出代码问题，帮助企业有效提升安全开发效率，缩短开发周期，降低开发成本，全面提升应用系统安全水平，2）可有效识别外包开发商提交的代码安全质量问题，防范风险，确保外包出去的软件安全质量，帮助企业有效管控软件供应链安全。3）可完美替代国外同类软件产品，帮助企业满足内部安全检测及国家相关“自主可控”的信息安全要求。

创新点介绍：

海云安源代码检测分析管理平台（SCAP2000V2）具备覆盖率高、误报率低、检测速度快、可集成性强等特点，是国内首批自主、可控的国产商用产品。平台采用AI学习的二次审计过滤分析引擎，具有国内领先检测技术，检测规则精准，基于海云安多年代码安全检测实践经验，积累了海量的代码基因大数据库。技术创新点具体包括如下：覆盖率高：涵盖2400+种缺陷类型,检测语言多达 20+ 种，拥有3000万+ 代码基因大数据库误报率低：误报率低于15%，F1 Score达到0.8检测速度快：检测速度 1.2万行+/分钟可集成性强：集成多种平台对接能力，支持全方位API对接(1)国内首批自主、可控的国产商用产品海云安长期专注于代码安全领域技术研究，产品技术自主研发，安全可控国内首批通过公安部信息安全产品检测的商用源代码安全分析产品(2)国内领先代码基因大数据库基于海云安多年代码安全检测实践经验，积累了海量的代码基因大数据库，目前累计已超过3000万+(3)国内领先检测技术，检测规则精准国内首创快速检测引擎，检测规则通过将黑白灰融合技术，经过专家多年的人工验证，检测准确度高，误报率极低，产品检测能力已远超国外主流产品(4)基于AI学习的二次过滤分析引擎国内首创基于AI学习的二次审计过滤分析引擎，针对代码扫描引擎的扫描结果进行正准确的分析、过滤，②能够大大地节省代码分析的时间和降低分析难度，提高代码审计效率。

技术突破：

1.产品技术成熟性

海云安坚持技术研发先行，逐步形成：技术研究->产品升级->市场反馈->改进方案的持续改进良性循环。通过优秀的研发团队自研和与高校、科研机构合作研发所申报的专利，在源代码检测领域取得重要突破，相关技术和水平被同行业认可，已有广泛的客户集成，成熟程度高。

2021年8月公布，海云安源代码检测分析管理平台项目荣获深圳市2020年度金融创新奖贡献奖项目二等奖。

2.产品技术可靠性

海云安以科技、技术作为第一生产力，取得多项发明专利，并将专利技术运用到公司产品，为客户提供高技术水平的产品，提升客户信息安全防护能力。公司研究偏重于产品领域的技术应用研究，目标是瞄准国内外先进水平，持续解决产品技术问题，突破安全检测领域核心技术，源代码检测产品具有相关发明专利、软著，销售许可、漏洞兼容资质等多项能力，源代码检测技术在移动应用、JAVA应用、工业互联网应用等领域到达国内领先水平，提升合规检测能力，形成以AI测试驱动开发安全&数据安全解决方案，产品技术的可靠程度高。

产品相关专利、软著及公安部颁发的销售许可证及国家信息安全漏洞库颁发的兼容性资质证书。

实际应用情况（案例）

深圳某证券公司

客户概况

因业务发展需要，该客户需引进具备双引擎（Micro Focus Fortify/其它）的源代码安全审计系统及管理平台，源码检测最终报告应由服务方专职技术人员对初始系统扫描报告进行整理筛选后按要求提供，服务方在合同期内安排有技术人员进行现场服务。

解决方案：客户的源代码审计平台是基于海云安SCAP平台的内部定制化增强版源码审计平台，在SCAP基本功能上，独立定制了自定义接口，能够与客户内部的PM系统进行无缝对接，实现在系统上线PM时，能够自动触发进行源码扫描分析，实现源代码存量与增量扫描分析。通过与客户现有的代码管理系统“码云”进行深度对接，并为客户系统开发人员提供自助式自动化代码审计功能，审计现有所有存量项目代码及合同服务期内所有新系统增量代码。