一、安全方面
1、 系统有无第三方漏洞检测;
第三方组件漏洞扫描:dependency-check
WEB自动化漏洞扫描:QWASP ZAP
越权漏洞测试:Burpsuite、AccessControlTest
代码.。。。测试扫描:SonarQube
2、 关键数据(如:用户名、密码等关键数据)有无加密处理;
非对称加密(用户密码)和对称加密码(微信公众号参数)
3、 有无用户登录和操作的详细日志记录;
每个微服务开始日志;有一个日志配置页面;
也有日志记录,操作日志、登录日志、异常日志、消息发送日志、接口事件日志
4、 有无越权访问 xss跨站攻击 sql注入 文件上传等漏洞风险;
配置了xss跨站攻击
二、适用性
1、 Web页面适配的浏览器类型和版本(是否有手机端);
GOOGLE\火狐,IE只支持10以上。使用VUE只支持IE10以上
2、 手机端(如果有)适配的机型和版本;
支持钉钉
三、性能方面
1、 是否有页面动静分离(公共的JS、图片、上传控件等);
用APACHE\NGINX部署前端页面
2、静态页面访问响应时间;用VEU响应时间比JQUERY和JAVASCRIPT快
3、接口访问响应时间;
4、大数据量页面(如报表等)响应时间;
用了阿里巴巴的druid,通过此工具看到所有的慢的SQL语句
5、 系统应用服务器优化说明(如:tomcate内存调优等);
文档中有一个springcloud的优化配置,如Eureka参数调整、Feign参数调整、Ribbon参数调整、Hystrix参数调整
6、 系统并发量说明;
如4CPU 16G内存支持200并发
四、源码方面
1、源码目录结构说明;
2、使用JDK版本什么、应用服务器类型及版本;
JDK1.8 CENTOS 7
2、 使用了哪些中间件技术;
REDIS、MQ、,db、 ftp
3、代码是否有详细注释和关键类或方法的说明;
4、源码是否含与项目无关代码;
代码有一条主线
5、数据库中是否含有与项目不相关的表、字段、函数、触发器、定时任务;
只有表,其它都没有
五、系统监控
1、有无sql慢查询监控;
2、Session监控;
用的是JWT,非SESSION机制。
3、系统并发量监控;
4、系统服务调用链监控;
5、请求成功失败率监控;
六、拓展性
1、 是否接口其它系统的集成,如钉钉、微信;
系统与钉钉微信对接完成后,在钉钉微信中免登陆
七、功能
1、工作流是否适用我司复杂的审批流程:跨公司审批;
八、培训
1、 系统部署方案;
2、 系统操作培训;
九、文档
1、《概要设计报告》;
3、 《详细设计报告》;
4、 《接口设计说明书》;
4、 《数据库设计说明书》;
5、《系统参数配置说明》;
6、《系统操作手册》;
二、技术架构沟通结果
1、技术框架中缺少了消息队列;
2、权限方面:宏天使用的是spring securty我们方案中使用的是shrio 都是通过用户、角色、资源、权限表来进行权限方面的控制,只是用的技术不同,顾问回复都差不多;
3、单点登录:宏天使用的是CAS,我们的方案中有cas、oauth2,另外顾问也建议可以使用第三方商业单点登录的选择,对于比较老的系统可以采用用户密码对照表的方式进行单点登录(目前我们有个别系统是用这种方式实现);
4、分布式事务:宏天方案:拆分微服务后的分布式事务使用hystrix的错误返回方法进行事务补偿,但是该方案没有实现事务的幂等(错误后只有一次补偿机会),我们的方案使用的是TCC补偿事务方案,可以实现幂等(错误后有多次补偿机会),我们的方案比他们的方案优。
浙公网安备 33010602011771号