| 目标:创建一个拟人化的AI SDL产品,核心是体现出一个AI数字分身角色在企业SDL链路的每个环节都在持续进行安全分析,存在风险时会主动告警出某个项目在SDL链路中存在风险,无风险时会持续展示每个环节的安全分析报告。 系统分为三大主模块 分别是AI SDL数字分身工作大盘、风险项目告警、风险项目详情 AI SDL数字分身工作大盘 功能需求: 大盘中以游戏的形式呈现出一个AI SDL数字分身持续在SDL的5个链路上持续进行安全分析并不断产出风险项目和风险报告5个链路分别是需求设计、代码变更、安全测试、发布、线上运行。 需求设计环节:AI SDL数字分身不断在对企业中的需求进行安全分析,发现存在风险的项目需求。 代码变更环节:AI SDL数字分身不断在对企业中的代码进行安全评审,发现存在风险的项目代码。 安全测试环节:AI SDL数字分身不断在对企业中的接口进行自动化安全测试,发现存在风险的项目接口地址。 发布环节:AI SDL数字分身对发布环节的全部项目进行安全检查,发现存在风险的项目发布变更行为。 线上运行环节:AI SDL数字分身对全部线上项目进行安全健康,发现存在漏洞或者入侵风险的项目。 设计要求 AI SDL数字分身在中间,5个环节以环形布局排列,每个环节包含: ● 进度环:以持续分析中的动效展示分析结果,例发现4个风险和持续分析中的动效 ● 数据流动态:环形链路间用光效箭头显示数据流动向(如需求→代码→测试→发布→线上) ● 实时分析动态:动态更新展示数字人的分析动态,例完成分析 支付宝国补项目、完成分析云存储优化项目代码分析 ● 实时数据看板:最上方展示全局统计数据(如"今日已分析***个需求发现***个风险") 风险项目告警 AI SDL数字分身在每个环节发现的风险,最终将信息聚合成"某个项目在某个环节存在某风险" 的形式产出告警(项目是唯一维度,如果一个项目在多个环节存在风险需聚合在一起),例 支付宝国补项目在代码和需求环节存在越权和sql注入风险。 项目详情 告警出来的风险项目,点击进入详情页,将项目分为需求-代码-安全测试-发布-线上5个模块,每个模块都包含内容--安全分析结果,需要在内容上动态展示分析过程和同步展示风险对应的内容,因为安全分析是对内容进行分析最终产出安全分析结果。 需求模块: ● 内容:展示项目对应的需求文档内容,包括技术架构图 ● 分析结果:产出威胁建模图、安全风险:包括业务场景-风险点-风险类型-整改建议 代码模块: ● 内容:展示项目对应的全部代码内容 ● 分析结果:安全风险:由风险接口、代码漏洞名称、漏洞描述、存在漏洞的代码内容(点击可定位到代码内容)、修复建议 安全测试: ● 内容:展示对应的风险接口以及每个风险接口对应的攻击payload和攻击结果 ● 分析结果:存在风险的接口、攻击payload请求、风险描述 发布: ● 内容:展示在发布环节进行安全检查的内容,检查之前环节积累下来的风险是否修复 ● 分析结果:未修复的风险,在之前的每个环节发现但未修复的风险,例代码环节的越权风险未修复 线上: ● 内容:展示发现的漏洞或者入侵事件风险 ● 分析结果:展示漏洞的修复情况 设计要求 ● 实时告警:最右侧通过告警中心模块实时展示最新发现的风险项目,不同风险等级展示不同的颜色标记,点击之后进入项目详情 ● 在右上角增加风险项目功能,点击进入展示全部的风险项目,点击项目进入项目详情页。 ● 项目详情中 ○ 需求模块:1、技术架构图支持缩放/平移(集成mermaid.js) 2、威胁建模图采用交互式拓扑图(可点击节点查看风险详情) 3、风险内容高亮展示 ○ 代码模块:1、代码高亮显示(支持多种语言)2、漏洞代码行用红色波浪线标注,点击弹出修复建议浮层 3、支持展示多文件的代码内容结构 ○ 安全测试模块:1、接口攻击过程可视化(请求-响应链路图)2、Payload展示采用代码块样式并支持修复 |
