苍穹生态产品安全检测教程及报告规范原创
金蝶云社区-产品管理部_侯小凤
产品管理部_侯小凤
3人赞赏了该文章 403次浏览 未经作者许可,禁止转载编辑于2023年07月10日 13:49:58

安全测试报告参考材料

安全如果贵司没有精力或能力出具安全测试报告中的内容,可以自行联系安全测试厂商,或者在金蝶应用市场也有合作的安全测试服务推荐 :https://appmarket.kingdee.com/index/productDetail/613466439197790208

如果经费有限,金蝶也提供安全测试教程和材料。 

安全测试报告要求
附件及截图完整性1、端口开放截图(只上架公有云则不需要提供)
2、系统漏洞报告(pdf版)(只上架公有云则不需要提供)
3、web扫描报告(pdf版)
4、源代码扫描报告(pdf版)

5、判断是否有app端(非苍穹平台的),app测试报告

6、手工渗透测试,包含苍穹ISV产品手工渗透的安全测试用例。

7、两款病毒软件的扫描报告或截图
端口安全

端口开放:一般开放tcp 80-89,443,8440-8450,8080-8089。

结合高危端口清单,关闭所有高危端口、或做到高危端口加固。

详见《高危端口合集》(见文末附件)
报告检查所有报告中,不含中高危漏洞,如有判定为金蝶平台漏洞,须在结论中描述清楚。




《安全测试报告》工具扫描结果检查样例(以下仅供参考,伙伴使用不同工具扫描,表现形式可能不一样,但需包括以下内容):

1  端口扫描(Nmap)

image.png

系统漏洞扫描(Nessus)

image.png

image.png

 

3  Web安全扫描(AppScan、Acunetix


image.png

image.png

 image.png

Acunetix


 image.png

源代码安全扫描(Fortify、Sonar等)

 image.png


 image.png


image.png

以上严重的问题必须清零,若存在因为误报等无法清零的,必须在报告中写明。

 

App安全扫描

提供附件,中高危漏洞必须修复,低危漏洞必须经过安全负责人评估不影响方可不修复,此处不提供样例。

 

渗透性测试

渗透性测试需由人工测试辅助,伙伴自评估的,需写清楚做了哪些渗透性测试,列出详细测试清单。

 

7  开源及第三方软件安全

image.png

 

病毒扫描(需提供两款病毒扫描结果)

image.png

image.png


图标赞 3
3人点赞
还没有人点赞,快来当第一个点赞的人吧!
图标打赏
0人打赏
还没有人打赏,快来当第一个打赏的人吧!