序号

大类

小类

具体技术要求

1

插桩检测能力

语言及模式

1、支持Java、Golang、PHP、Node.js、Python、.Net语言的主、被动插桩检测；
2、Java语言支持主、被动检测模式同时运行，可动态切换或启停节点的工作模式。

2

框架支持

1、Java插桩支持Struts2、SpringMVC、SpringBoot、SpringFlux、Playframework、WebSocket、Jersey、Struts、Hibernate等常见框架，支持AFA、AFE等商业框架，支持SpringCloud、HSF、SOFA、Dubbo、JSF、GRPC、Vert.X、Thrift、WebFlux、Netty等微服务框架，并能检出漏洞；
2、Node.js插桩支持Express、hapi、Koa、Fastify、Restify、LoopBack、egg等常见框架，并能检出漏洞；
3、Python插桩支持Bottle、Django、Django Rest Framework、Falcon、Flask、Pyramid、Tornado、WSGI、Fastapi、Hug等常见框架，并能检出漏洞；
4、Go插桩支持gin、gorilla、echo、httprouter、chi、iris、grpc、beego、gorm、go-ldap、etree、go-zero等常见框架，并能检出漏洞。

3

中间件支持

1、Java 插桩支持Tomcat、Jetty、Jboss、Wildfly、Weblogic、SpringBoot、Websphere、Resin、Liberty、东方通、宝兰德；
2、PHP 插桩支持Apache PHP、Nignx+fpm；
3、.Net 插桩支持 .Net Framework 和 .Net Core。

4

漏洞类型支持

1、插桩检测模式支持命令执行、文件读取/文件下载/文件包含漏洞、XML实体注入(XXE)、服务端请求伪造(SSRF)、代码执行、MondoDB注入、表达式注入、LDAP注入、特定类跨站脚本(XSS)、SQL注入、配置类缺陷、URL重定向、跨站请求伪造(CSRF)、Web组件类漏洞等漏洞类型；
2、支持通过插桩模式检测弱口令，并可自定义弱口令字典。

5

第三方组件检测

1、支持Java、PHP、Node.js、Python、Go、.Net语言的运行时第三方组件检测；
2、支持镜像仓库对接，上传容器镜像、应用包的方式进行第三方组件检测；
3、第三方组件检测提供漏洞详细信息，包括但不限于：漏洞名称、漏洞编号、发布时间、漏洞等级、漏洞描述、攻击类型、利用难度、修复建议、推荐的版本以及最新版本等信息；
4、第三方组件检测漏洞库兼容CWE、NVD、CNNVD、CNVD及开源社区漏洞，组件库版本数量不低于8000w+，漏洞库数量不低于24w+，许可证库数量不低于1800+。

6

自定义规则

1、支持自定义检测策略，建立检测策略模板；
2、支持自定义敏感信息检测规则；
3、支持对内置的漏洞新增输入、传播、清洁以及汇聚方法插桩点；
4、支持自定义漏洞检测规则，并允许非污点源触发检测策略，以满足特殊的审计需求；
5、支持过滤规则配置，用户可对某些需要过滤的漏洞点进行自定义配置；
6、支持自动识别过滤函数，并支持添加过滤函数发现关键字；
7、支持查看过滤函数源代码，方便检查过滤函数有效性；
8、支持添加过滤函数忽略规则，可更精准识别漏洞状态；
9、支持header关键字过滤、接口路径两种方式自定义漏洞检测白名单，接口路径支持批量导入。

7

数据安全检测

1、内置手机号、身份证号、银行卡号、邮箱等十种敏感信息泄露规则；
2、支持多种格式自定义敏感信息，包括正则表达式、Json字段；
3、支持配置全量检测和抽样检测两种方式，抽样检测支持自定义请求次数进行抽样。

8

自定义数据安全检测

1、敏感信息检测位置支持自定义配置，包括请求（header、query、body）响应（header、body）等具体位置；
2、支持敏感数据分类分级管理；
3、内置基于国标/行标的敏感数据分类分级规则，并支持自定义修改；
4、支持配置敏感数据检测白名单，并支持批量导入。

9

流量检测能力

检测模式

流量检测支持代理/VPN，旁路流量镜像，主机流量嗅探，实时Web日志分析，启发式主动爬虫等多种检测模式。

10

检测任务配置

1、支持自定义检测范围，可配置对请求、限定目录、目标域、全域、全网检测；
2、支持自定义检测粒度；
3、支持自定义检测时间，可配置延时开始检测任务，及不进行检测的时间段，未来检测时间可精确到秒；
4、支持配置漏洞检测模板，自定义要检测的漏洞类型，并内置GDPR、CWE、PCI DSS、OWASP TOP 10等模板；
5、支持自定义漏洞点、URL、任务的检测超时时间；
6、支持配置用户凭证后提交重新检测，使用重新检测功能对已有漏洞进行回归测试、对全部URL进行重新检测，或对目标进行重新检测；
7、支持同一检测目标支持检测结果对比，可选择任意一次检测历史进行比较，直观展示漏洞风险情况；
8、支持对sql注入、文件上传、web shell等漏洞自动化漏洞利用；
9、支持配置爬虫黑名单及检测URL白名单。

11

漏洞类型支持

1、流量检测模式支持命令执行、服务端请求伪造(SSRF)、存储型跨站脚本(XSS)、特定类跨站脚本(XSS)、文件读取/文件下载/文件包含漏洞、SQL注入、XML实体注入(XXE)、Web组件类漏洞、典型数据库类漏洞、典型CMS类漏洞、OA系统类漏洞、特定类系统服务配置缺陷、代码执行、业务逻辑类缺陷、特定类WebDAV不安全配置、特定类文件上传、Bluekeep漏洞、永恒之蓝漏洞、心脏滴血漏洞、Shellshock漏洞（破壳）、Coremail漏洞等；
2、流量量模式支持弱口令检测，可配置自定义弱口令字典。

12

应用与插桩管理

应用管理

1、支持应用分组管理，新应用上线自动加入组；
2、支持自定义应用组加入规则，以应用名称、应用负责人配置规则，便于应用分组维护。

13

应用版本管理

1、支持应用版本管理功能，支持探针自动识别版本，支持添加版本别名；
2、支持展示应用的所有版本，几个版本下的所有漏洞信息；支持版本之间的漏洞情况对比，及同一漏洞的污点数据流信息对比；
3、支持依据应用版本导出报告。

14

API识别检测

1、支持通过探针和流量两种方式对API识别梳理；
2、支持计算展示API测试覆盖率。

15

插桩部署管理

1、支持单独/批量操作Agent热更新，支持界面上传更新探针；
2、支持单独/批量操作Agent热卸载；
3、提供云原生场景下探针批量/自动部署方案，支持多种方案在Docker容器内部署Agent，支持利用Kubernetes Operator机制方式部署Agent，可自动将Agent注入到目标 POD 中，无需修改原有部署流程、原始镜像等，可以支持 POD 的自动扩容和负载；
4、支持Agent的上线权限管控，可审批Agent是否上线。

16

插桩批量管理

1、支持Agent的全局熔断配置与检测设置批量管理，包括漏洞验证、函数调用栈等；
2、支持单独或批量配置探针模式，支持切换主动、被动、应用防护模式；
3、支持单独或批量修改Agent策略，包括检测策略和防护策略；
4、支持单独或批量修改 Agent 日志记录功能以及调整日志级别。

17

插桩熔断管理

1、提供探针熔断机制开关，支持针对 CPU、QPS、内存、GC对探针做熔断降级处理，在业务访问压力较大时，自动关闭探针功能，待业务恢复正常后探针也自动恢复检测功能
2、支持限流控制保护，当访问流量QPS过大时，对高频的流量进行检测限制。可配置包括但不限于请求Hook限流阈值，高频流量限流阈值，并支持令牌桶机制配置每秒令牌时间，同时提供自定义配置限流解除时间。

18

插桩环境信息管理

支持展示插桩节点所在运行时环境中操作系统、运行时环境变量信息。

19

漏洞管理

漏洞信息管理

1、支持编辑漏洞详情信息；
2、支持展示污点源的参数；
3、支持在污点数据流中添加并下发虚拟补丁；
4、支持对同一类型的多测检出的漏洞进行漏洞合并；
5、支持漏洞状态管理，可根据实际使用场景自定义漏洞状态（已修复、未修复、误报、存疑、已确认等）；
6、支持对漏洞添加多条审计内容，并支持漏洞复测时继承审计内容；
7、支持对已添加的漏洞审计内容进行编辑和删除；
8、支持基于插桩探针维度，以Sitemap结构展示漏洞检测结果。

20

漏洞回归与验证

1、支持对已检测任务、已检测插桩应用的整体回归测试，包括全部请求回归测试、所有漏洞回归测试，快速协助技术人员完成漏洞排查与复测；
2、支持提供漏洞发现，漏洞复现、自动验证等功能，覆盖漏洞生命周期中的每个阶段。

21

漏洞链路追踪

1、支持分布式框架下的漏洞全链路追踪；
2、支持不同插桩语言节点间的漏洞全链路追踪；
3、至少支持 Dubbo、gRPC、Thrift、Open Feign 等常见框架协议。

22

自定义漏洞信息

支持自定义漏洞类型与漏洞信息，并配置检测规则。

23

漏洞拓扑

1、支持基于插桩实时绘制拓扑图，动态展示多节点、数据库、服务器之间的连接关系；
2、支持拓扑图中快速查看插桩节点检出漏洞、攻击事件和敏感数据信息。

24

漏洞修复

1、漏洞修复可提供安全 SDK 和相关漏洞修复手册，使用安全 SDK 后，相关漏洞可以实现快速修复。
2、支持自定义流量级别漏洞热修复，能够在 URL、HTTP Method、Param、Headers、Request Body、Status Code等位置增加自定义判断逻辑；
3、支持自定义插桩级别漏洞热修复，能够对特定函数参数、返回值、函数调用栈增加自定义判断逻辑；支持流量和插桩多个条件组合判断的虚拟补丁，以保证复杂情况下，漏洞热修复的处置效果。

34

报告管理

报告格式

报告格式支持Word、PDF、Excel、Html、Xml、Json格式。

35

报告样式

1、支持自定义报告，支持个性化设置报告封面、报告标题、页眉文字、报告Logo、页眉Logo等；
2、支持添加自定义报告水印。

36

报告内容

1、生成报告时支持对漏洞等级、漏洞状态、验证状态进行筛选，生成指定类型漏洞的报告；
2、支持将对漏洞等级、漏洞状态、验证状态的筛选内容存为自定义报告模板，流量类、插桩类、组件类均支持报告模板。

37

报告生成

产品提供使用手册和必要的操作引导。

38

完成性校验

支持使用安全的哈希算法生成报告完整性校验码，并支持界面上传校验。

39

对接管理

DevOps对接

1、支持蓝鲸、GitLab、Jenkins、Coding、云效、博云等DevOps平台对接，并有成熟的对接案例，Jenkins对接支持自定义选择漏洞状态、检出模式等选择配置质量红线；
2、支持从DevOps平台获取检测结果和报告，提供对应应用详情跳转链接。

40

第三方平台对接

1、支持将漏洞信息推送至第三方kafka；
2、支持与Jira、禅道等第三方漏洞平台对接，支持展示漏洞同步状态和第三方平台的问题id。

41

系统管理

消息通知

1、支持自定义消息通知配置，通知内容包括应用漏洞检出、检测任务结束、节点通信中断、节点熔断；
2、通知方式支持站内通知、邮箱通知，Webhook支持钉钉、企业微信、飞书和其他支持Webhook协议的平台。

42

个性化配置

1、支持不同色彩主题的换肤功能；
2、支持配置平台地址栏icon、登录页、平台信息等。

43

日志审计

支持查看、导出操作日志、系统日志，支持设置定时清理策略。

44

用户角色管理

1、支持通过建立角色配置用户权限，可区分查看、编辑、删除、添加、分享、导出权限；
2、支持按照部门管理用户，支持为部门配置默认角色；
3、支持用户批量启用、禁用、修改部门等操作。

45

部署管理

部署方式

支持单机部署与分布式集群化部署，适应高可用、高并发应用业务场景。

46

部署形态

支持业务平台的部署形态查看与管理。

47

信创支持

1、支持欧拉、银河麒麟、鲲鹏操作系统部署；
2、支持Oceanbase、TDSQL、达梦、GoldenDB数据库部署；
3、支持TongWeb中间件部署。

48

并发检测

支持高可用架构部署，可至少支持*****以上的节点并发。

49

网络协议

支持IPv4、IPv6网络协议。