内蒙古广播电视台奔腾OA移动APP加固服务项目采购公告

编号

服务名称

数量

服务期限

备注

1

Android加固服务

1

合同日起1年内同一APP不限次加固

不可使用进口技术加固

2

IOS加固服务

1

合同日起1年内同一APP不限次加固

不可使用进口技术加固

3

鸿蒙应用加固服务

1

合同日起1年内同一APP不限次加固

不可使用进口技术加固

4

安卓、iso、鸿蒙应用测评服务

1

合同日起1年内同一APP不限次加固

不可使用进口技术加固

5

安卓、iso、鸿蒙应用合规服务

1

合同日起1年内同一APP不限次加固

不可使用进口技术加固

要求项

子项

具体要求参数

Android应用防代码逆向要求

DEX加壳保护

支持对DEX文件进行整体加壳保护

DEX字符串加密

支持对DEX内的明文字符串进行加密保护

DEX类动态保护技术

支持对DEX内的代码进行动态抽取加密，并且在类被执行时不解密类内全部代码，只对被执行到的方法函数进行解密

DEX虚拟化保护技术

支持DEX虚拟化技术（VMP），能够将DEX代码转换为自定义的虚拟机指令，并以自定义虚拟机进行解释运行

DEX全量虚拟化保护技术

★支持DEX全量虚拟化技术（ALL-VMP），能够将DEX代码的通过DEX虚拟化技术进行全量保护

SO加壳保护

支持对SO进行加壳保护，防止反编译

防查看伪代码

★支持对SO代码进行加密混淆，防止IDA的查看伪代码功能（IDA F5功能）

导入/导出函数隐藏

支持对SO内的函数表信息进行加密

SO动态清除

★支持SO动态清除技术，能够在SO执行过程中动态清除内存中的函数符号

SO防盗用绑定

★支持将SO文件同应用进行绑定，防止SO文件被非法盗用

Android应用防二次打包要求

完整性保护

支持APK完整性验证，防止被非法篡改、二次打包

**文件加密

支持对应用内的**文件、配置文件进行完整性保护，防止被篡改

签名验证

支持对APP的开发者签名进行验证，防止被篡改签名、非法发布

Android应用防数据泄露要求

数据加密

支持对本次存储的数据库文件、JS文件、证书文件、配置文件等进行透明加密保护，防止查看和修改

Android应用防调试要求

防动态调试

支持防动态调试，防止利用调试技术或工具对应用进行内存动态调试

防内存注入

支持防内存注入，防止利用内存注入技术对应用进行恶意代码注入

防内存dump

支持防内存dump，防止通过内存dump的方式分析内存数据

防xposed hook攻击

支持防止利用Xposed工具进行Hook攻击

防Frida hook攻击

支持防止利用Frida工具进行Hook攻击

Android应用环境风险检测与防护要求

防截屏

支持防止在应用运行过程中通过截屏非法窃取、捕获敏感数据，保护用户隐私数据安全、交易安全

防日志泄露

支持防止攻击者通过分析应用日志信息获取敏感信息

防设备root

支持设备Root检测，对应用运行环境进行检测，判断设备是否已经Root进，确认后能够阻止应用运行

防模拟器

支持防止模拟器运行，对应用运行环境进行检测，判断是否运行在模拟器上，确认后能够阻止应用运行

防应用多开

支持防APP多开，对应用运行环境进行检测，判断是否通过VirtualApp等工具双开、多开应用，确认后能够阻止应用运行

防USB调试攻击

★支持防止通过USB连接电脑对手机应用进行调试

防网络代理

★支持防止应用在开启网络代理的设备上运行

防VPN

★支持防止应用在开启VPN的设备上运行

防屏幕模拟点击

★支持防止屏幕模拟点击脚本执行

防定制化ROM

★支持防止应用在定制化ROM运行

防Android原生模拟器

防止APP在Android原生模拟器上运行

防屏幕共享

★防止通过会议软件、远控软件共享应用屏幕

加固服务统计报告

自动生成加固服务报告

自动生成包含指定时间范围内的加固各种数据的服务统计报告

服务形式要求

交付形式

支持SaaS在线云交付、支持私有云软件交付、支持本地一体机交付

使用方式

支持基于Web浏览器加固、支持API自动化集成工具加固、桌面客户端软件加固

多语言系统

￠支持简体、繁体、英语、韩语系统语言。

要求项

子项

具体要求参数

iOS应用加固支持语言要求

Object-C/Object-C++

支持对Object-C/Object-C++代码的源到源加固

★Swift

支持对Swift代码的源到源加固

C/C++

支持对C/C++代码的源到源加固

iOS防代码逆向要求

★控制流平坦化

支持在不改变语义的前提下，通过控制流平坦化将控制流进行混淆处理

★不透明谓词

支持对跳转逻辑的判断值进行隐藏，增加攻击者逆向分析的难度

符号混淆

支持对代码内的类名、方法名、函数名进行加密混淆

★字符串加密

支持对字符串进行加密

★虚假控制流

支持增加新的虚假控制分支，加大破解和分析原始控制流的难度

多样性混淆

支持随机化混淆，每次混淆代码不一样

★防反编译

防基于IDA、Hooper工具对iOS应用的反编译

防chatGPT逆向

防止通过chatGPT AI工具对加固后的代码进行逆向

iOS应用防调试要求

★静态防调试

在源代码内添加防调试校验代码，在函数执行时触发该保护功能，防止继续调试

★静态防Inline Hook

在源代码内添加防Inline Hook校验代码，在函数执行时触发该保护功能，防止Inline Hook攻击

★静态防Swizzling Hook

在源代码内添加防Swizzling Hook校验代码，在函数执行时触发该保护功能，防止Swizzling Hook攻击

★静态防Frida hook攻击

在源代码内添加防Frida hook校验代码，在函数执行时触发该保护功能，防止Frida hook攻击

★静态防Cycript注入

在源代码内添加防Cycript校验代码，在函数执行时触发该保护功能，防止Cycript攻击

★静态防Reveal注入

在源代码内添加防Reveal校验代码，在函数执行时触发该保护功能，防止Reveal攻击

★静态代码完整性保护

在源代码内添加防代码篡改校验代码，在函数执行时触发该保护功能，防止代码完整性被破坏

￠实时防调试

在APP运行时开启自动守护功能，随时对调试行为进行监测和阻断

￠实时防hook

在APP运行时开启自动守护功能，随时对hook行为进行监测和阻断

支持防Inline Hook

支持防Swizzling Hook

支持防fishhook

￠实时完整性保护

在APP运行时开启自动守护功能，对代码段进行完整性

iOS应用防二次打包要求

绑定App包名

支持绑定app包名，篡改App包名将会导致应用运行闪退

绑定App签名

支持绑定app签名，篡改App签名将会导致应用运行闪退

iOS应用环境风险检测与防护要求

防设备越狱

支持自动检测设备是否越狱，在已越狱的设备上自动阻止App运行

★防AirPlay投屏

支持对AirPlay投屏行为进行检测，当存在AirPlay投屏行为时阻断App的运行，防止用户被进行远程诱导性欺诈。

防日志泄露

支持对代码内的系统日志输出进行阻断，防止敏感信息泄漏

★APP模糊化保护

支持App后台切换过程的屏幕模糊化，防止信息泄漏

★https证书校验

校验https证书的合法性，防止中间人攻击

★防位置伪造

支持自动检测设备是否进行了位置伪造，当APP在伪造位置的设备上运行时，APP会闪退处理，保护APP内依赖精准位置的业务不受位置信息篡改影响。

防网络代理

支持自动检测是否存在网络代理设置，当发现APP在启用网络代理的环境上运行时，APP会闪退处理，防止基于代理的抓包分析。

★防共享屏幕

支持自动检测是否存在软件共享屏幕行为，在共享屏幕时运行APP会闪退处理，防止基于屏幕共享软件的远程信息窃取、诈骗攻击。

防模拟器

支持自动检测是否在苹果电脑模拟器上运行，当APP运行在模拟器上时会闪退处理，防止基于模拟器的各种越权攻击。

★证书文件加密

支持对证书文件加密，防止对证书文件的非法读取

★证书文件绑定

支持对证书文件的绑定，自动绑定应用包名和签名，防止被非法盗用

防截屏

支持检测截屏行为并弹窗提醒

防VPN

★防止通过VPN环境抓包分析

防苹果电脑运行

★防止应用在苹果电脑（M芯片）上运行

防屏幕点击

★防止模拟屏幕点击脚本

操作要求

文本配置黑白名单

支持通过文本框形式直接快速输入黑白名单参数

树装配置黑白名单

支持通过树状目录形式直接选择黑白名单范围

iOS应用加固后审计与定位要求

￠加固结果可视化

支持加固后输出的是混淆加密的源代码，能够直观查看加固后的代码。

￠代码逐行定位问题

支持代码逐行调试代码，准确、快速定位问题

★SourceMap源代码溯源功能

加固后支持查看出问题的加固代码所对应的原始代码行号

服务形式要求

￠交付形式

支持SaaS在线云交付、支持私有云软件交付、支持本地一体机交付

使用方式

支持基于桌面软件加固、支持命令行自动化加固

￠多语言系统

支持简体、英语系统语言。

要求项

子项

具体要求参数

检测能力

检测对象

★产品具备Android、iOS、Android SDK、iOS SDK、鸿蒙、微信小程序、微信公众号、web应用、源码的漏洞扫描能力。

检测方式

支持静态代码反编译与动态沙箱模拟攻击相结合的方式进行检测

动态检测

支持至少18项动态检测项，包括但不限于：篡改二次打包风险、应用签名未校验风险、数据库注入漏洞、动态调试攻击风险、http报文信息泄露风险、界面劫持风险、本地端口开放越权漏洞、ContentProvider数据泄漏漏洞、动态注入攻击、root设备运行检测、模拟器运行检测等、★Content Provider导出组件目录遍历漏洞、★SharedPreferences文件中存储敏感信息、★SQLite数据库中明文存储敏感信息、Activity导出组件拒绝服务漏洞、Service导出组件拒绝服务漏洞、Broadcast Receiver导出组件拒绝服务漏洞、Frida HOOK运行风险。

Android检测

覆盖检测对象

支持提交apk、aab格式的应用提交检测

检测项数量及覆盖类别

支持至少150项测评项，覆盖自身安全、程序源文件安全、本地数据存储安全、通信数据传输安全、身份认证安全、内部数据交互安全、恶意攻击防范能力、第三方SDK信息、内容安全、应用优化建议等十项类别。

基本信息

支持全自动化识别应用基本信息，信息维度包括但不限于APK文件名、软件名称、包名、软件大小、软件版本、MD5、签名信息、targetSdkVersion、minSdkVersion、分析时间等。

权限信息

支持全自动化识别检测App的权限信息，包括申请的权限范围和使用权限范围，需要提供敏感权限、普通权限、自定义权限三大类别权限结果。

行为信息

支持app行为信息检测，并输出行为函数名称、行为描述、行为风险等级、行为信息定位等信息。

可识别行为包括但不限于动态加载、删除文件、读写文件、反射调用等

病毒扫描

★具备至少3种病毒引擎的检测能力，支持提供检测出的病毒信息及具体定位。

第三方SDK信息

★SDK分类基于《网络安全标准实践指南-移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》的常见SDK类型的标准分类。

SDK信息可单独显示，报告显示信息至少包含SDK名称、开发者、类别、包名、描述、来源地址等6个维度信息。

加固壳识别

能够识别至少15家主流加固厂商的加固特征

界面劫持风险

★支持动态运行检测应用是否存在界面劫持风险，并可以提供界面劫持成功截图或日志信息

自身安全检测

检测移动应用程序的基本信息，全景化呈现应用基本权限行为的声明和使用状态。检测项包括但不限于：基本信息、权限信息、行为信息、**文件中的apk文件、权限过度声明风险、未保护的自定义权限风险、★应用测试模式发布风险、★来源安全检测、★应用权限安全、★控制力安全检测、越权行为检测等

程序源文件安全

检测移动应用程序的源文件可能面临的安全风险。平台检测项包括但不限于：加固壳识别、java代码反编译风险、so文件破解风险、篡改和二次打包风险、Janus签名机制漏洞、**文件泄露风险、应用签名未校验风险、代码未混淆风险、使用调试证书发布应用风险、仅使用Java代码风险、启动隐藏服务风险、应用签名算法不安全风险、单元测试配置风险、xml**文件泄露风险、★友盟SDK越权漏洞、★恶意URL检测、txt**文件敏感信息泄露风险、lua**文件敏感信息泄露风险、html**文件敏感信息泄露风险、★SharedPreferences文件中存储敏感信息、★SQLite数据库中明文存储敏感信息、★SQLite数据库缺少加密保护等。、★SO库导出符号泄露风险检测

本地数据存储安全

检测移动应用本地数据存储可能面临的安全风险及漏洞。平台检测项包括但不限于：Webview明文存储密码风险、WebView存在潜在跨站脚本攻击风险、允许Webview访问本地任意脚本、明文数字证书风险、调试日志函数调用风险、数据库注入漏洞、RSA加密算法不安全使用漏洞、密钥硬编码漏洞、动态调试攻击风险、Webview远程调试风险、应用数据任意备份风险、敏感函数调用风险、数据库文件任意读写漏洞、全局可读写的内部文件漏洞、SharedPreferences数据全局可读写漏洞、SharedUserld属性设置漏洞、Internal Storage数据全局可读写漏洞、getDir数据全局可读写漏洞、FFmpeg文件读取漏洞、Java层动态调试风险、剪切板敏感信息泄露漏洞、内网测试信息残留漏洞、随机数不安全使用漏洞、代码残留URL信息检测、残留账户密码信息检测、残留手机号信息检测、残留Email信息检测、★明文泄漏风险、StrandHogg漏洞、ECB模式的AES/DEA加密方法不安全使用漏洞、OFB模式的AES/DEA加密方法不安全使用漏洞、外部储存卡存储数据风险、★私有IP地址暴露风险、★字节数组与字符串转换风险、★允许用户控制密钥长度风险、★初始化向量硬编码风险、SD卡数据泄露风险检测、★TDES加密算法不安全使用风险等

通信数据传输安全

检测移动应用的通信数据传输中可能面临的安全隐患。平台检测项包括但不限于：HTTP传输数据风险、HTTPS未校验服务器证书漏洞、HTTPS未校验主机名漏洞、HTTPS允许任意主机名漏洞、Webview绕过证书校验漏洞、HTTP报文信息泄露风险、互联网环境检测、启用VPN服务检测、访问非中国内地服务器风险、★通信套接字安全等。

身份认证安全

检测移动应用在身份认证上可能存在关键信息泄露的风险。平台检测项包括但不限于：界面劫持风险、输入监听风险、截屏攻击风险等

内部数据交互安全

检测移动应用内部数据在内部组件交互过程中可能面临的风险漏洞。平台检测项包括但不限于：动态注册Receiver风险、Content Provider数据泄露漏洞、本地端口开放越权漏洞、Pendinglntent错误使用Intent风险、Intent组件隐式调用风险、反射调用风险、用户隐私信息检测、Activity组件导出风险、Service组件导出风险、Broadcast Receiver组件导出风险、Content Provider组件导出风险、Android-gif-Drawable远程代码执行漏洞、Fragment注入攻击漏洞、Intent Scheme URL攻击漏洞、★覆盖权限验证风险、★仅定义Provider writePermission风险、★混淆代理人攻击风险、★未配置网络安全属性风险、★Receiver权限未指定风险、★Broadcaster权限未指定风险、★缺少导出的标志或组件权限、★ContentProvider访问路径不安全配置风险、★粘滞广播使用风险、★so包含执行命令函数风险等

恶意攻击防范能力

通过动静态检测手段，分析移动应用对于恶意攻击手段的防范能力。平台检测项包括但不限于："应用克隆"漏洞攻击风险、动态注入攻击风险、Webview远程代码执行漏洞、未移除有风险的Webview系统隐藏接口漏洞、zip文件解压目录遍历漏洞、下载任意apk漏洞、Activity导出组件拒绝服务漏洞、Service导出组件拒绝服务漏洞、Broadcast Receiver导出组件拒绝服务漏洞、从sdcard加载dex风险、从sdcard加载so风险、未使用编译器堆栈保护技术风险、未使用地址空间随机化技术风险、模拟器运行风险、Root设备运行风险、不安全的浏览器调用漏洞、"寄生体"云控风险检测、★运行其他可执行程序漏洞、★libupnp缓冲区溢出漏洞

★Intent重定向漏洞、★Content Provider导出组件目录遍历漏洞、★fastjson反序列化远程代码执行漏洞、★fastjson远程命令执行漏洞、★UnityGhost漏洞、★**云OSS凭证泄露、Frida hook运行风险（动态检测）等

HTML5安全

支持检测集成Html5语言框架开发的app。平台检测项包括但不限于：Web Storage数据泄露风险、WebSQL注入漏洞、InnerHTML的XSS攻击漏洞等

内容安全

支持检测应用代码层面的敏感信息。检测项包括但不限于：敏感词信息、敏感图片检测、敏感文本检测

优化建议

支持检测应用在开发规范、加密等级升级等配置情况。检测项包括但不限于：全局异常检测、IP地址检测、国密算法检测、SharedPreferences使用commit提交数据检测、自启行为检测

iOS检测

检测项数量及覆盖类别

★支持至少68项测评项，覆盖自身安全、二进制代码保护、客户端数据存储安全、数据传输安全、加密算法及密码安全、程序源文件安全和iOS应用安全规范、内容安全、HTML5安全、第三方SDK、身份认证安全等检测类别。

自身安全检测

支持检测移动应用基本信息，全量化输出应用权限、行为、架构等信息。检测项包括但不限于：基本信息、权限信息、行为信息、证书类型检测、无法上架App Store风险、编译架构检测等。

二进制代码保护

支持检测移动应用二进制代码保护情况。检测项包括但不限于：代码未混淆风险、未使用地址空间随机化技术风险、未使用编译器堆栈保护技术风险、注入攻击风险、可执行文件被篡改风险。

客户端数据存储安全

支持检测移动应用客户端数据存储安全。检测项包括但不限于：动态调试攻击风险、输入监听风险、调试日志函数调用风险、webview组件跨域访问风险、越狱设备运行风险、数据库明文存储风险、动态库信息泄露风险、★FFmpeg文件读取漏洞、★出口合规证明、★明文泄漏风险、★残留Email信息检测、★残留手机号信息检测、★日志泄漏风险检测、★cer证书文件未加密风险、★私钥存储文件未加密风险

数据传输安全

支持检测移动应用数据传输安全情况。检测项包括但不限于：HTTP传输数据风险、HTTPS未校验服务器证书漏洞、URL Schemes劫持漏洞、联网环境检测

加密算法及密码安全

检测项包括但不限于:AES/DES加密算法不安全使用漏洞、弱哈希算法使用漏洞、随机数不安全使用漏洞

程序源文件安全

检测项包括但不限于：明文字符串泄露风险、外部函数显式调用风险、系统调用暴露风险、创建可执行权限内存风险、篡改和二次打包风险、SQLite内存破坏漏洞、格式化字符串漏洞、txt**文件敏感信息泄露风险、★lua**文件敏感信息泄露风险、html**文件敏感信息泄露风险、xml**文件敏感信息泄露风险、js**文件敏感信息泄露风险、★**文件泄漏风险、★代码反编译风险

iOS应用安全开发规范

检测项包括但不限于：XcodeGhost感染漏洞、不安全的API函数引用风险、Private Methods使用检测、ZipperDown解压漏洞、iBackDoor控制漏洞、未使用自动管理内存技术风险、内存分配函数不安全风险、自定义函数逻辑过于复杂风险、★UnityGhost漏洞、★xcode版本检查、★使用企业证书发布应用风险检测、★Intel模拟器运行风险

HTML5安全

检测项包括但不限于：Web Storage数据泄露风险、 InnerHTML的XSS攻击漏洞

第三方SDK

★SDK分类基于《网络安全标准实践指南-移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引》的常见SDK类型的标准分类。

SDK信息可单独显示，报告显示信息至少包含SDK名称、开发者、类别、描述、来源地址等5个维度信息。

身份认证安全

检测iOS应用在★共享屏幕和★airplay投屏场景下的信息泄露的风险。

内容安全

支持检测应用代码层面的敏感信息。检测项包括但不限于：敏感词信息

检测对象

支持上传aar、★zip、★rar、★jar格式的SDK文件进行检测

★鸿蒙检测

检测对象

支持上传hap格式的鸿蒙应用文件进行检测，

检测项数量及覆盖类别

支持不少于100项检测项，检测类别覆盖本地数据存储安全、内部数据交互安全、通信数据传输安全、程序源文件安全、自身安全、恶意攻击防范、优化建议、HTML5安全、身份认证安全

自身安全

检测项包括但不限于：基本信息、权限信息、★缺少权限申请理由、★应用使用的权限未定义、★自定义权限以ohos开头风险、★动态类加载路径检测等、第三方SDK检测、控制力安全、未保护的自定义权限风险、应用权限安全、权限过度声明、敏感词检测等。

通信数据传输安全

检测项包括但不限于：HTTPS未检验主机名漏洞、明文流量传输、HTTPS未校验服务器证书漏洞、WebView绕过证书校验漏洞、WebView加载任意url风险、HTTPS允许任意主机名漏洞、互联网环境检测、访问境外服务器检测、通信套接字安全、HTTP传输数据风险、启用vpn服务检测、WebView绕过证书校验风险等。

程序源文件安全

检测项包括但不限于：★初始化向量硬编码风险、代码未混淆风险、so文件破解风险、未使用地址空间随机化技术风险、未使用编译器堆栈保护技术风险、Java代码反编译风险、仅使用Java代码风险、恶意URL检测、加固壳识别、应用签名算法不安全风险、单元测试配置风险、友盟SDK越权漏洞等。

本地数据存储

检测项包括但不限于： 应用数据任意备份风险、密钥硬编码漏洞、调试日志函数调用风险、RSA加密算法不安全、随机数不安全使用漏洞、剪切板敏感信息泄露、代码残留URL信息检测、内网测试信息残留漏洞、明文数字证书风险

数据库文件任意读写漏洞、

允许用户控制密钥长度风险、

ECB模式的AES/DEA加密方法不安全使用漏洞、

ffmpge文件读取漏洞、

getDir数据全局可读写漏洞、

全局可读写的内部文件漏洞、

Hash算法不安全、

Internal Storage数据全局可读写漏洞、

OFB模式的AES/DEA加密方法不安全使用漏洞、

内网IP地址泄露风险、

残留Email信息、

敏感函数调用风险、

残留账户密码信息检测、

残留手机号信息检测、

SharedPreferences数据全局可读写漏洞、

外部储存卡存储数据风险、

字节数组与字符串转换风险、

WebView BadKernel远程代码执行漏洞、

Webview File域同源策略绕过、

WebView远程调试风险、

WebView明文存储密码风险等。

内部数据交互安全

检测项包括但不限于：★Page组件导出风险、Data组件导出风险、★Service组件导出风险、★公共事件劫持风险、★公共事件订阅检测、★DataAbility设置合理的读写权限、

Android-gif-Drawable远程代码执行漏洞、

Intent Scheme URL攻击漏洞、

覆盖权限验证、

★page劫持检测、

PendingIntent错误使用Intent风险、

权限检查、

反射调用风险等

恶意攻击防范能力

检测项包括但不限于：zip文件解压目录遍历漏洞、“寄生推”云控风险、不安全的浏览器调用、运行其他可执行程序漏洞、从sdcard加载dex风险、从sdcard加载so风险、libupnp缓冲区溢出漏洞、未移除有风险的Webview系统隐藏接口漏洞、Webview远程代码执行漏洞等。

优化建议

检测项包括但不限于：全局异常捕获处理、IP地址检测、SharedPreferences使用commit提交数据检测、自启行为、SM2国密算法检测、SM3国密算法检测、SM4国密算法检测等。

HTML5安全

检测项包括但不限于：innerHTML的漏洞、Web Storage数据泄露风险、 WebSQL漏洞

身份认证安全

检测项包括但不限于：使用调试证书发布应用风险、截屏攻击风险

平台功能

数据统计

￠支持统计账号提交总任务数量、月度任务数量、风险总数量、问题总数量等数据信息。

￠任务数据与样本统计支持以图表方式展现近一个月内数据趋势。

￠支持以日、周、月维度统计应用安全性，应用平均得分

￠支持以月度为单位，以图表形式体现应用得分分布图

￠支持以月度为单位，图表形式展示各个检测项目的风险检出率

￠支持以月度为单位查询单个检测项的风险检出率，及存在此风险的相关被检测应用信息。

批量操作

★支持批量下载word、excel、pdf格式的检测报告

支持批量提交不少于50个应用进行检测

支持批量下载被检测应用源文件（apk、ipa、aar、zip、jpg、png等）

￠支持批量统计分析，可对至少50个应用的测评结果统计分析，并且以报告的形式展示，包括应用得分、问题项目发生占比等。

任务日志

版本管理

￠支持应用安全性版本管理，支持应用不同版本之间安全性对比图表展示，支持输出版本对比分析报告；

检测结果编辑

★支持在线编辑检测结果，可编辑内容包括但不限于安全与否、存在漏洞的文件详情、人工验证截图上传等，支持输出编辑完成后的最终版报告。

检测源数据导出

支持Android检测结果源数据导出，支持根据用户账号、检测时间进行筛选，导出相应的检测结果源数据excel。

检测模板

支持系统自带模板

支持用户自定义增删检测模板

★检测模板可根据检测方式（动态、静态）、报告语言、报告输出类型等维度灵活配置检测项目。

★支持导出检测模板

用户管理

支持用户在授权范围内自定义角色分工，并自主创建账号，实现多用户管理功能，至少提供管理员和普通用户两种角色

管理功能

（仅支持私有化部署场景交付）

★支持自定义检测规则，根据业务需求自主更改检测项分值、分级标准、风险等级、风险描述、检测步骤、修复建议等信息，并支持导入导出备份功能

★支持Android应用通过路径匹配、模糊匹配、文件匹配等方式，对部分检测项或全局检测项设置白名单，并提供相关增删改查管理功能

支持设置Android/iOS应用敏感词库管理功能，可自定义增删改敏感词库内容。

支持自定义修改平台界面UI设置，包括但不限于：平台登录背景图、logo、平台介绍、平台名称等信息

支持自定义报告内容，包括但不限于：报告标题、logo、水印、附录、公司介绍信息等。

支持产品授权更新功能

支持磁盘管理功能，可通过平台定期自动/手动清理系统各类缓存信息，释放系统空间，维持系统运行内存稳定。

支持检测任务队列调整，管理员可一键置顶或取消某项排队中任务。

★支持Android SDK的后台配置管理，可自主添加或删除第三方SDK，添加后的SDK支持在App中进行识别和安全检测。

日志管理

★支持查看导出用户操作日志

★支持单个任务运行日志信息下载。适用检测对象：Android、aab、iOS、Android SDK、iOS SDK、鸿蒙、小程序/公众号

报告输出

支持在线预览查看报告内容，报告内容包括：检测评分、检测数据总览、检测数据图表、检测结果详情等信息

检测项支持查看风险描述、风险等级、检测结果、检测步骤、检测详情（定位至文件，可输出有风险代码段或日志信息）、修复建议等信息

★支持在线编辑报告内容，并重新生成编辑后的报告。

★提交apk检测时，支持单独输出其集成的第三方SDK风险信息。第三方SDK风险报告支持在线查看及报告下载。

★支持按风险等级、检测结果维度显示报告信息，并生成对应的简版测评报告

★支持输出单个应用多版本安全检测结果分析报告

★支持自动化输出对标OWASP Mobile TOP10的检测报告。

底层引擎支持

SDK库

★Android SDK信息库存量至少6000+

★iOS SDK信息库存量至少1000+

要求项

子项

具体要求参数

App基本信息检测

Android基本信息

支持检测并列出Android App的基础信息，包括但不限于：软件名称、包名、类型、软件大小、软件版本、targetSdkVersion、minSdkVersion、签名信息，安装包文件名、散列值（MD5、SHA-1、SHA-256）、App是否加固

iOS 基本信息

支持检测并列出iOS App的基础信息，包括但不限于：软件名称、包名、类型、软件大小、软件版本、签名信息，安装包文件名、散列值（MD5、SHA-1、SHA-256）

静态权限检测

Android声明权限

￠分析列出Android App声明的权限，提供权限名称、权限含义、权限类型、保护级别、是否为敏感权限、是否使用、是否为可收集个人信息权限

iOS声明权限

分析列出iOS App声明的权限，提供权限名称、权限含义、是否使用、是否为可收集个人信息权限等信息；

使用权限

列出App及SDK在运行过程中可能使用的权限（静态分析）

列出使用权限所对应的代码路径、关键代码、代码片段（仅适用Android）

声明权限但未使用情况

检测并列出App声明但在运行期间可能未使用的权限，提供权限含义、权限类型、保护级别、是否为敏感权限等信息；

成分检测

Android SDK信息

检测并列出Android App集成的SDK的名称、包名、开发者、类别、描述、来源等信息；

iOS SDK信息

检测并列出iOS App中集成的SDK的名称、开发者、类别、描述、来源等信息；

行为检测

数据通信情况

提供App进行数据通信的域名、IP地址、IP归属地、检测状态、协议、通信次数等信息，支持查看数据通信的具体内容；

个人信息明文传输行为

支持检测App的网络数据通信及cookie中是否明文传输了个人信息

数据跨境传输行为

检测App是否存在数据跨境传输行为；

个人信息明文存储行为

列出App存储明文个人信息的情况，包括：时间、代码片段、存储位置、明文个人信息、个人信息类别，明文个人信息以红色区分；

个人信息采集行为

列出App在检测过程中的个人信息采集行为，行为所依赖的权限、行为发生的时间、总次数、平均每分钟发生的最高次数，提供对应行为的堆栈信息，便于问题定位；

支持根据行为名称进行筛选；支持根据检测状态进行筛选；支持从“行为”“主体”两种维度展示个人信息采集行为；

声明权限但未使用情况

检测并列出App声明但在运行期间可能未使用的权限，提供权限含义、权限类型、保护级别、是否为敏感权限等信息；

自启动/关联启动行为

检测App是否存在自启动/关联启动行为（Android）

热更新能力检测

支持检测App是否存在热更新能力（Android）

一揽子授权行为

检测App是否存在一揽子授权行为（Android）

合规检测

隐私政策

自动合规检测时支持对App隐私政策文本进行自动化获取及显示，支持手动上传App隐私政策

合规评估

★内置191号文、164号文、165号文、292号文、26号文、自评估指南、国标35273、国标41391等多套合规检测模板，可依据检测模板对移动应用程序进行合规检测，输出word、pdf报告

（2）支持在Web页面进行人工检测并编辑合规检测结果，输出全量合规检测报告

深度

自动化脱壳

产品基础功能

首页统计视图

￠支持展示应用检测数据统计信息，对检测趋势及问题情况进行统计预览，方便呈现总体检测情况：支持显示最近7天/最近30天/最近90天/全部时间检测的APP数量；支持统计显示被测APP总数、已完成检测的App总数、待检测任务总数、待人工介入的应用数；支持统计显示App中集成的SDK、使用权限、不合规行为TOP10排行；

样本管理

新增样本上传方式：支持本地单个/批量上传与URL单个/批量下载方式上传，支持显示上传进度；

支持根据时间、应用名称、应用类型、平台类型进行查询；

支持单个/批量应用的下载、删除；

任务管理

支持进行单个/批量检测，每个检测应用支持显示子任务状态，

★支持查看实时检测详情， 方便用户在测试过程中实时查看应用行为，能够提升测试效率及合规评估效果（截图）

支持对任务进行单个/批量终止、删除、重新检测、下载报告；

支持根据任务名称、应用名称、创建者、检测时间、平台类型、任务类型、任务状态等条件进行筛选；

人工检测时支持页面录屏功能，用于证据留存；

人工检测时支持横竖屏切换

★任务类型支持：全自动、自动+人工、纯人工 三种方式，满足批量自动化检测与人工深度检测场景，人工可对自动化合规检测结果进行审核修订，大大降低提升合规检测效率；（iOS目前只支持纯人工任务类型）（截图）

支持对应用不同版本之间检测结果进行对比，帮助用户分析不同版本的集成SDK、权限及合规结果的差异。

报告管理

支持对已完成任务生成的报告进行统一管理，支持单个/批量下载已完成任务的报告，含Word与PDF格式；支持重新生成报告，自定义输出检测内容；

报告模板配置，支持创建报告模板，自定义报告模板名称、报告标题、logo、封面、页眉、页脚、单位名称、公司介绍；

真机管理

￠支持对平台所连接的检测真机进行管理查看，修改用途，方便用户及时了解真机**使用情况，并及时配置真机属性

知识库管理

支持查询下载常见合规标准政策原文

内容识别配置

（1）内容识别配置支持自定义内容识别关键字

（2）支持对内置规则进行编辑、删除、启用、禁用

合规检测策略配置

★支持自定义合规检测项、检测点

合规检测模板配置

★支持自定义配置增加合规检测模板

SDK配置

支持自定义添加SDK，提升SDK识别能力

IP地址归属地配置

支持用户自主配置IP地址与归属地映射关系，形成适合用户的IP库

网站设置

支持自定义网站logo、网站icon、产品名称；

磁盘管理

￠支持通过手动/自动方式清理磁盘空间，便于用户维护系统空间，提升运维效率；

系统日志

支持记录用户操作日志，包括账号登录、上传样本、创建任务等；便于管理员对系统使用情况进行回溯审查，排查可疑IP登录操作行为

API管理

（1）支持API对接，可通过API进行**任务、上传App、查询任务列表、查询任务详情、下载报告等操作

（2）支持对用户进行API权限控制，可限定其API权限调用范围

系统升级

支持在页面进行系统升级，上传升级包即可进行

客户端升级

￠客户端升级，支持在页面上传合规检测客户端，方便对真机客户端检测软件进行统一升级