以下是内容适用于与金蝶云·星辰、金蝶精斗云、金蝶KIS云对接过的集成产品,以及基于金蝶云·星辰研发的扩展产品和独立产品:
一、 产品功能清单
注意事项:
1、 产品功能清单必须要提供,。
2、 需要精确到功能模块、功能子项及功能描述,按照模板填写。
3、如果是已上架产品版本升级,原有功能也要写进去,需要标注清楚是否本期新增功能,本期新增的要写成红色字体。
二、 产品集成方案
注意事项:
1、仅集成产品上架需要准备;
2、需要提供产品对接金蝶云·星辰API对接数据流程图。
3、需要提供产品对接金蝶云·星辰API接口的字段对照表,按照模板填写。
三、 测试报告
注意事项:
1、 产品测试报告中产品名称和版本号必须与上架的产品名称和版本号一致。
2、 项目背景、测试方法、组织方式、测试环境需按照实际情况以及模板填写不得空缺
3、 产品测试报告须体现需求测试覆盖率(要求100%),提供的功能清单提到的功能都必须通过测试。需求测试覆盖率未达到100%,请核实哪些产品功能是没有进行测试的,需补测试完。
4、 缺陷整体分析需按照模板提供计算缺陷密度、统计分析缺陷遗留情况以及缺陷管理系统截图。(提供缺陷管理系统对应的截图)。遗留缺陷控制在10个内,只能是低优先级的,严重级别肯定是不能遗留的。
5、 请提供功能测试缺陷分析,包括缺陷数据及修复情况,遗留缺陷清单及缺陷级别
四、 安全测试报告
注意事项:
1、 安全测试报告中产品名称和版本号必须与上架的产品名称和版本号一致。
2、 安全测试报告须严格按金蝶模板要求的测试项目进行测试,不要对模板的章节进行删减
3、 页眉需写明产品名称,测试人、审核人、批准人职务日期都需要填写完整
4、 第三方机构测试的才需要写“XX机构受XX委托测试”,如为本单位自测则填写XX公司XX测试团队测试;
5、 文件需要盖上单位公章
6、 以下文字使用前需要删除
7、 组网环境和业务配置(所需的组件、操作系统版本要求、网络连接等信息),被测设备的形态等信息以及组网图需要按照实际情况提供
8、 所有测试项,测试工具和测试范围的内容都是空白的,请根据实际测试情况,补充完整,包括病毒扫描等。
9、 所有工具扫描结果须截图证明,中高危漏洞必须修复,低危漏洞须评估是否影响发版并做说明。且截图必须能看清楚或者直接提供清晰图片或附件。
10、 端口扫描所有开放的端口,都必须说明用途,对于高危端口及无涉及的端口要关闭。无需开放的端口,请用工具进行端口测试,看是否所有端口都已经关闭;端口扫描ip地址与截图地址必须一致,且截图必须能看清或另行提供附件。
11、 端口扫描以及结果分析中,除tcp 80-89,443,8440-8450,8080-8089 端口外,其他端口在报告中必须关闭并截图体现,截图需清晰或者提供图片附件,远程登录测试环境需要用到的,需做特殊说明后续关闭
12、 系统漏洞扫描及结果分析必须提供截图或附件,且截图必须能看清;不能含有高中漏洞,低危漏洞须评估是否影响发版并做说明;说明文字需与扫描截图一致;例,截图含有低漏洞,文字填写无高中低漏洞。
13、 Web安全测试及结果分析必须提供截图或附件,且截图必须能看清;不能含有高中漏洞,低危漏洞须评估是否影响发版并做说明;说明文字需与扫描截图一致;例,截图含有低漏洞,文字填写无高中低漏洞。
14、 源代码(白盒)安全扫描必须提供截图或附件,截图必须能看清,且无高中风险问题。
15、 “App扫描与分析”和“开源及第三方软件测试评估”如不涉及的请写当前产品不涉及,无需进行测试,其余项目必须测试;如涉及则必须提供附件或截图,截图必须能看清。
16、 报告上下文使用的测试工具和覆盖的测试项目须保持一致,不要直接套用模板内容;
17、 病毒扫描至少需要2种工具进行扫描并提交扫描截图;
18、 产品如已通过等保认证,请提供等保证书+等保测试报告,可以代替安全测试报告,注意须确保测试报告中的中高危漏洞必须修复。
19、 第三方安全厂商的测评的必须提供第三方安测报告
五、 测试用例
注意事项:
1、 测试用例需要如实填写测试报告出具时使用的内容,按照模版准备。
六、 安全评估报告
注意事项:
1、 安全评估报告中产品名称和版本号必须与上架的产品名称和版本号一致。
2、 安全评估报告需要法人签字/法人签章+公司盖章+写日期,三者缺一不可。
(法人签字/法人签章不能直接电脑输入,必须手签或盖人名章。)
3、 安全评估报告中打星号的项目必须填写。
4、 运营团队名称请填写正确的组织架构名称,安全团队名称同理
5、 安全团队名称请写组织架构名称,不能写人名;
6、 团队性质如果填写兼职团队,则请提供第三方安全公司的检测结果。检测报告的覆盖范围参考《安全测试报告模板》.
7、 团队信息中负责人必须填写姓名;勾选专职团队后填写专职安全人员人数,勾选兼职团队后填写兼职团队人数;安全资质需是等保测评资质,如有则需提供资质证明,如无则填写无。
8、 “访问或下载地址”必填,写产品的安装下载地址,如没有可以写应用市场的地址;
9、 评估方式按照实际情况填写,其他具体是什么?若无法自评估请提供第三方测评报告;
10、 遵从性评估中“法律遵从性”为必须,请务必评估产品是否遵从国家安全相关法律,若无要整改;勾选后填写具体的法律标准
11、 安全测试验证结果及处理原则需要清楚安全测试的结果是什么,存在的漏洞处理原则是什么。请不要直接留着斜体字的示例,根据实际情况填写
12、 “审计进程”应该“不可被人为关闭或终止审计进程”;
13、 “安全应急响应团队”联系人和联系方式必填;
14、 “安全应急响应预案”若为否的,需在备注里填写计划制定好该预案的时间。
15、 “漏洞处置机制”存在漏洞的需要填写处理的漏洞类型以及处置机制概述
16、 兼职团队请提供第三方安全厂商的测评报告
七、 安全承诺书
注意事项:
1、安全承诺书需要法人签字/法人签章+公司盖章+写日期,三者缺一不可。
(法人签字/法人签章不能直接电脑输入,必须手签或盖人名章。)
八、 软件著作权证书
注意事项:
1、集成产品、标准扩展产品及独立产品必须要上传国家知识产权局颁发的软件著作权证书(如果还在申请流程中的请提供截图,待拿到证书再上传)。
2、如果是定制扩展产品,无法提供软件著作权证书(请按照模版准备证明,必须手签或盖人名章,盖公司公章。)