欢迎您使用"奇安信网神代码卫士系统"(以下简称“本产品”)!
在您下载、复制、安装或使用本产品前,请务必认真阅读并充分理解《奇安信网神代码卫士系统用户使用许可协议》(以下简称“本协议”)各条款内容,特别是免责条款。本产品您一旦访问、下载、复制、安装、运行或以其它方式使用本产品,将被视为对本协议的接受,即表示您同意接受本协议各项条款的约束。如果您不同意本协议中的任一条款,请不要复制、下载、安装或使用本产品及其相关文档,并立即删除您设备中的本产品及其副本(如有)。本协议亦适用于本产品后续版本及升级版本。您可依据您与奇安信集团签署的有效书面许可协议获得本产品的非独占性使用许可,但本产品的知识产权权属及其他一切权益始终仅归属于奇安信集团。
您:又称“用户”,指通过购买或其他合法方式获得本产品的主体,可以是自然人、法人、政府机构或其他组织。
奇安信集团:包括但不限于奇安信科技集团股份有限公司、网神信息技术(北京)股份有限公司、北京网康科技有限公司及其关联机构,以下简称 “我方”、“奇安信集团”。
本产品:是指奇安信网神代码卫士系统及其服务。
除特别声明外,本产品的一切知识产权,以及与本产品相关的所有信息内容,包括但不限于:文字表述及其组合、图标、图饰、图像、图表、色彩、界面设计、版面框架、有关数据、附加程序、印刷材料或电子文档等与本产品相关的信息均为奇安信集团所有,受著作权法和国际著作权条约以及其他知识产权法律法规的保护。
3.1 在您依据与奇安信集团签订的商业合同获得奇安信集团本产品许可证并且满足商业合同规定的生效条件后,本协议授予您、且仅授予您对本产品及相关文档在中华人民共和国(“中国”)大陆地区(除香港特别行政区、澳门特别行政区、台湾地区外)的非独占性的使用许可,允许您在法律法规允许的范围内、按照本协议约定的条款和条件使用本产品。
3.2 您可以在一台服务器设备(以下简称“设备”)上安装、使用、显示、运行(“运行”)本产品的一份副本。
一份软件许可不得在不同的设备上共同或同时使用。仅在同时满足以下前提条件的情况下,您方可将本产品用于多用户环境或网络系统上:
(1)本产品明文许可用于多用户环境或网络系统上;
(2)使用本产品的每一节点及终端都已购买使用许可。
3.3 如果您是从未经奇安信集团合法授权的渠道以外获得本产品,则您不享有本协议下的任何许可及服务,请立即停止使用并从您的设备上彻底删除本本产品,且不得留存任何副本。奇安信集团保留对未经合法授权使用本软件的行为追究法律责任的一切权利。
3.4 未经奇安信集团事先书面同意,您在任何时候或任何条件下均无权转让本产品或其中的任一部分,也不得将本产品或其中的任一部分进行转授权或分许可。
4.1 禁止反向工程、反向编译和反向汇编:您不得对本产品进行反向工程(ReverseEngineer)、反向编译(Decompile)或反向汇编(Disassemble),同时不得改动编译在程序文件内部的任何资源。除法律、法规明文规定允许上述活动外,您必须遵守此协议限制。
4.2 您应在遵守法律及本协议的前提下使用本产品。您无权实施包括但不限于下列行为:
4.2.1 删除或者改变本产品上所有管理电子信息的权利;
4.2.2 故意避开或者破坏著作权人为保护本产品著作权而采取的技术措施;
4.2.3 将本产品用于任何非法目的;
4.2.4 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;
4.2.5 未经允许,进入计算机信息网络或者使用计算机信息网络资源;
4.2.6 未经允许,对计算机信息网络功能进行删除、修改或者增加;
4.2.7 未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;
4.2.8 破坏本产品系统或网站的正常运行,故意传播计算机病毒等破坏性程序;
4.2.9 其他任何危害计算机信息网络安全的行为。
4.3 组件分割:本产品是作为一个单一产品而被授予许可使用,您不得将各个部分分开用于任何目的。
4.4 个别授权:如需进行商业性的销售、复制、分发,包括但不限于软件销售、预装、捆绑等,必须事先获得奇安信集团的书面授权和许可。
4.5 保留权利:本协议未明示授权的其他一切权利仍归奇安信集团所有,您使用其他权利时必须获得奇安信集团的书面同意。
5.1 产品介绍
本产品是奇安信集团基于多年代码安全实践经验开发的新一代代码安全检测系统,面向组织代码安全需求,能够在不改变组织现有开发流程的前提下,与代码管理系统(如SVN、Git等)、缺陷管理系统(如JIRA、Bugzilla、禅道等)、IDE开发工具(如Visual Studio、Eclipse等)、持续构建工具(如Jenkins、Azure DevOps)无缝对接,将代码安全检测融入企业开发流程,实现软件代码安全目标的统一管理、自动化检测、Bug修复追踪等功能,帮助用户以最小代价建立代码安全保障体系并落地实施,构筑信息系统的“内建安全”。 本产品包含了代码缺陷检测、缺陷定位&审计、基础管理功能几个主要模块。
5.2 产品功能
5.2.1 代码缺陷检测
本产品根据用户购买语言包情况,可支持对C/C++、Objective-C、C#、Java、Java(Andriod)、PHP、JSP、XML、HTML、ASPX、JavaScript、SQL(包括HiveSQL)、Python、Cobol、Go、Swift、NodeJS、Kotlin等约20种主流编程语言开发的软件代码进行缺陷检测。可检测的缺陷种类包括缓冲区溢出、SQL注入、跨站脚本、代码质量、危险函数等19个大类,1100多个小类,兼容CWE(Common Weakness Enumeration)、OWASP TOP 10、SANS TOP 25等国际标准和最佳实践。
5.2.2 缺陷定位&审计
本产品可以检测发现代码中的安全问题,定位到具体的代码行,并为每一个发现的问题提供详细的信息提示和修复建议,帮助开发人员更好的理解和更有效的修复该问题。对于检测结果也可以通过人工审计进行二次干预,对威胁等级和标注进行调整,在下一次检测时,可以将本次人工审计的结果携带至下一轮检测任务中,可以有效提高代码缺陷检测的准确性,降低误报。
5.2.3 基础管理功能
本产品通过由用户管理、模板管理、日志管理、引擎管理、系统配置管理、资源管理组成的基础管理功能进行整个系统的运维管理。
(1)用户管理
本产品提供基于部门、角色、用户的账号管理体系,管理员可以创建拥有不同权限的角色和用户账号。
(2)模板管理
本产品支持自定义添加缺陷检测模板、检测目标模板、统计分析模板,便于对不同的检测项目进行归类处理。
(3)日志管理
本产品会记录并提供系统的操作日志、异常日志和系统运行日志,可以帮助系统运维人员更好的监控系统运行状况,及时修复平台问题,保障系统能够长久稳定的运行。
(4)引擎管理
本产品提供引擎查询和队列管理功能,可以查看系统当前的引擎基础配置,并可以对正在检测和排队中的检测任务进行删除、置顶操作。
(5)系统配置管理
本产品可以查看当前运行系统的基本状况,包括授权key信息、操作系统、CPU、硬盘、内存状态等信息,可以对一段时间内的检测历史数据进行批量删除。
(6)资源管理
本产品可以对依赖库、函数白名单、知识库、自定义规则、资源下载数据进行管理。添加函数白名单,可以批量过滤安全函数,提高检测效率和准确性;知识库管理功能可以对缺陷检测知识库的任意一条缺陷的威胁等级、描述信息、修复建议进行修改,对于批量修改后的知识库,提供一键重置功能。系统提供统一的模板和入口,支持用户自定义添加检测规则用于代码缺陷检测。
5.3 软件的修改和升级
奇安信集团享有为本产品增加附加特点和功能的权利,或者提供程序修补、更新和升级的权利。您承认和同意,奇安信集团没有义务向您提供本产品及相关文档的任何后续版本或升级版本,除非您已购买该后续版本或升级版本,或奇安信集团在商业合同中与您另有约定。
6.1 奇安信集团承诺严格遵守相关法律的规定处理用户的信息。
6.2 奇安信集团制定了严格的用户上传信息处理规则和安全保护措施,以确保不超越目的和范围收集用户信息,确保您上传信息的安全,确保您上传的信息不被滥用。除征得您明确同意或法律明确规定外,奇安信集团不会向任何第三方提供您上传的文件及信息。
6.3 奇安信集团制定了以下四项用户信息保护原则,指导我方处理产品中涉及到的用户信息保护等方面的问题:
6.3.1 利用我方收集到的信息为用户提供有价值的产品和服务。
6.3.2 开发符合隐私权保护标准和隐私权保护惯例的产品。
6.3.3 信息的收集透明化,并由权威第三方监督。
6.3.4尽最大的努力保护我方掌握的信息。
7.1本产品经过详细的测试,但不能保证与所有的软硬件系统完全兼容,不能保证本产品完全没有错误。如果出现不兼容及软件错误的情况,您可拨打技术支持电话(电话:4009-303-120)或联系邮箱(kefu@qianxin.com)将情况报告奇安信集团,获得技术支持。本协议所述明示担保为担保的全部内容。在适用法律所允许的最大范围内,奇安信集团提供的本产品和支持服务(如有)均为按现状及包含所有瑕疵状况下提供,不允诺其它不论是明示的、暗示的的任何保证和担保:包括但不限于本产品对特殊应用目的适销性或兼容性、反应的精确性、结果的完整性、不含漏洞或错误、针对本产品提供或不提供支持服务等。
7.2在适用法律所允许的最大范围内,奇安信集团绝不就因使用或不能使用本产品所引起的或有关的任何间接的、意外的、特殊的、惩罚性的或其它任何损害(包括但不限于因利润损失、数据损失、营业中断、设备瘫痪或故障、商业信息的遗失而造成的损害、因疏忽而造成的损害、或任何其它损失而造成的损害等)承担赔偿责任,即使奇安信集团事先被告知该损害发生的可能性。即使补救措施未能达到预定目的,本损害赔偿排除条款将仍然有效。
不论何种情况下,奇安信集团在本协议任何条款下所承担的全部责任、以及您可获得的赔偿以您购买本产品支付的款项为最高限额。同时,奇安信集团对您或第三方提供的应用于或操作于本产品的内容或与该内容相关的其他内容而引起的任何索赔或损害不承担任何责任。
7.3 对于因电信系统或互联网网络故障、设备故障或病毒、信息损坏或丢失、设备系统问题或其它任何不可抗力原因而产生的损失,奇安信集团不承担任何责任,但将尽合理商业努力减少因此而给用户造成的损失和影响。
7.4 对于您违反本协议规定,奇安信集团有权采取包括但不限于终止或中断使用许可、停止提供服务、限制使用、法律追究等措施。
7.5 对于从非奇安信集团指定站点下载的本产品以及从非奇安信集团发行的介质上获得的本产品,奇安信集团无法保证该软件是否感染计算机病毒、是否隐藏有伪装的特洛伊木马程序或者黑客软件,使用此类软件,将可能导致不可预测的风险,建议您不要轻易下载、安装、使用,奇安信集团不承担任何由此产生的一切法律责任。
1.如在本产品附随用户手册或其它材料中,奇安信集团明示将为您提供支持服务,则奇安信集团将依照该用户手册或其它材料中所述的各项政策和计划为您提供与本产品有关的支持服务(“支持服务”)。
2. 提供给您作为支持服务的一部分的任何附加软件代码(如有)应被视为本产品的一部分,并须遵照本协议中的各项条款。
未经奇安信集团事先书面同意,您同意不将本产品、其任何部分或任何属本产品的直接成果的任何程序或服务出口或转口给任何中国大陆外的任何国家或者地区。
10.1如您未遵守本协议的各项条款和条件,奇安信集团有权终止本协议。终止本协议时,您必须立即销毁本产品及所有复制品,或者将其归还给奇安信集团。
10.2奇安信集团有权通过提前15个自然日在本产品官方网站公告的方式对本产品政策予以修改,包括但不限于功能删减、使用时间设定、许可终止等。
11.1 本协议适用中华人民共和国法律。
11.2 因本协议引起的或与本协议有关的任何争议,各方应友好协商解决;协商不成的,任何一方均可将有关争议提交至北京仲裁委员会并按照届时有效的仲裁规则仲裁;仲裁裁决是终局的,对各方均有约束力。
12.1 如果本协议中的任何条款无论因何种原因完全或部分无效或不具有执行力,或违反任何适用的法律,则该条款被视为无效,但本协议的其余条款仍应有效并且有约束力。该等条款应在可能的范围内予以解释并在法律准许的最大限度内被执行以实现原意,且如果该等解释或执行不被法律准许,则该等条款应视为可与本协议分割。
12.2 奇安信集团有权不时根据有关法律、法规的变化以及公司经营状况和经营策略的调整等修改本协议,并通过适当的方式进行公告或通知您,请您注意及时查看奇安信发送的各项公告和通知。如果您不同意修改的内容,请您立即停止使用本产品。如果您继续使用本产品,则视为您接受修改后的协议。
12.3 奇安信集团在法律允许的最大范围内对本协议拥有解释权与修改权。
奇安信集团
2020年3月
二、奇安信网神代码卫士隐私政策
欢迎您使用奇安信网神代码卫士!
奇安信网神代码卫士系统平台(以下简称“本平台”或“本产品”)是奇安信集团(以下简称“我们”、“奇安信科技”或“公司”)推出的一款静态应用程序安全测试(SAST)系统,该系统提供了一套企业级代码缺陷分析、代码审计、代码缺陷修复跟踪的完整解决方案,帮助企业在软件开发测试过程中发现代码中的安全缺陷、性能缺陷、代码质量等问题,全面提升软件安全质量。
我们希望通过本隐私政策向您说明,在使用奇安信网神代码卫士系统(以下简称“本系统”)时,我们如何收集、使用、存储、分享和转让用户信息,以及我们如何保护用户信息。请在使用奇安信网神代码卫士系统前,务必仔细阅读并了解本隐私政策,在确认充分理解并同意后使用我们的产品或服务。一旦您开始使用奇安信网神代码卫士系统,即表示您已充分理解并同意本政策,并同意我们按照本隐私政策收集、使用、储存和分享用户信息。如对本政策内容有任何疑问、意见或建议,您可通过本隐私政策提供的各种联系方式与我们联系。
本隐私政策将帮助您了解以下内容:
一、我们如何收集和使用用户信息
二、我们如何存储用户信息
三、我们如何共享、转让、公开披露用户信息
四、我们如何保护用户信息
五、第三方产品或服务
六、未成年人保护
七、隐私政策的变更和修订
八、如何联系我们
九、 隐私政策的生效
一、 我们如何收集和使用用户信息
我们会出于本隐私政策所述的以下目的,收集和使用用户信息:
(一) 创建账号
您首次登录代码卫士系统时,我们会为您分配登录账号和默认密码,您首次登录系统后,请立即自行修改密码,以保证您的账号安全。
(二) 提供代码安全服务
您登录本系统时,系统会自动收集您的ip地址以创建操作日志。
(三) 解决您反馈的问题
您可以通过奇安信用户热线向我们反馈您使用本款产品中遇到的问题。我们会努力解决问题。您在反馈意见中所提供的联系方式,仅用于我们的用户热线与您沟通与反馈,除征得用户明确同意和法律明确规定外,我们将不会向任何第三方提供您提供的上述信息。
(四)安全保障
为提高您使用我们及我们关联公司、合作伙伴提供服务的安全性,保护您或其他用户或公众的人身财产安全免遭侵害,更好地预防钓鱼网站、欺诈、网络漏洞、计算机病毒、网络攻击、网络侵入等安全风险,更准确地识别违反法律法规或奇安信科技相关协议规则的情况。我们可能使用或整合您的软件使用信息以及我们关联公司、合作伙伴取得您授权或依据法律共享的信息,用于进行身份验证、检测及防范安全事件,并依法采取必要的记录、审计、分析、处置措施。
(五)征得授权同意的例外
根据相关法律法规规定,以下情形中收集您的用户信息无需征得您的授权同意:
1. 与国家安全、国防安全有关的;
2. 与公共安全、公共卫生、重大公共利益有关的;
3. 与犯罪侦查、起诉、审判和判决执行等有关的;
4. 出于维护信息主体或其他个人的生命、财产等重大合法权益但又很难得到您同意的;
5. 所收集的用户信息是您自行向社会公众公开的;
6. 从合法公开披露的信息中收集用户信息的,如合法的新闻报道、政府信息公开等渠道;
7. 根据您的要求签订合同所必需的;
8. 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
9. 为合法的新闻报道所必需的;
10. 学术研究机构基于公共利益开展统计或学术研究所必要,且对外提供学术研究或描述的结果时,对结果中所包含的信息进行去标识化处理的;
11. 法律法规规定的其他情形。
二、 我们如何存储用户信息
我们在中华人民共和国境内收集和产生的用户信息将存储在中华人民共和国境内。
若为处理跨境业务,确需向境外机构传输境内收集的相关用户信息的,我们会另行征求您的同意,并按照法律、行政法规和相关监管部门的规定执行。我们会确保用户信息得到足够的保护,例如匿名化、加密存储等。
我们仅在本政策所属目的的所必须期间和法律法规要求的时限内存储用户信息。
如我们停止运营单向导入平台系统,我们将及时停止继续收集用户信息,并将停止运营的通知以逐一送达或公告的形式通知您,并对我们存储的用户信息进行删除或匿名化处理。
三、 我们如何共享、转让、公开披露用户信息
(一)共享
我们不会与任何公司、组织和个人共享用户信息,但以下情况除外:
1. 在获取您明确同意的情况下,我们会与其他方共享用户信息。
2. 我们可能会根据法律法规规定、诉讼争议解决需要,或按行政、司法机关依法提出的要求,对外共享用户信息。
3. 在法律法规允许的范围内,为维护奇安信科技、奇安信科技的关联方或合作伙伴、您或其他奇安信科技用户或社会公众利益、财产或安全免遭损害而有必要共享用户信息。
4. 在我们的关联方向您或向我们提供服务的情况下,我们可能与我们的关联公司共享用户信息。但我们仅共享必要的用户信息,且关联方对您信息的处理受本隐私政策的约束。关联公司如要改变您用户信息的处理目的,将再次征求您的授权和同意。
5. 除非获得您的明确授权和同意,否则我们不会与第三方广告商、应用程序开发者、开放平台或其他合作伙伴共享用户信息。我们可能会为这些合作伙伴提供汇总后的信息、匿名化后的信息或者其他不会识别到您身份的信息。
6. 仅为实现本隐私政策中声明的目的,我们可能会与我们的供应商、服务提供商、顾问或代理人共享用户信息(或用户举报的短信或来电号码),以提供更好的用户服务和用户体验。这些供应商、服务提供商、顾问、代理人可能为我们提供技术基础设施服务,分析我们服务的使用方式,衡量广告和服务的有效性,提供客户服务和支付服务,进行学术研究和调查,或提供法律、财务与技术顾问服务。
对我们与之共享用户信息的公司、组织和个人,我们会与其签署严格的数据保护协定,要求其按照我们的说明、本隐私政策以及其他任何相关的保密和安全措施来处理用户信息。
(二)转让
我们不会将用户信息转让给其他任何公司、组织和个人,但以下情形除外:
1. 随着奇安信集团业务的发展,我们及我们的关联公司有可能进行合并、收购、资产转让或其他类似的交易。如相关交易涉及到用户信息转让,我们会要求新持有用户信息的公司、组织和个人继续受此政策约束,否则我们将要求该公司、组织和个人重新征得您的授权同意。
2. 在获得您明确同意的情形下转让,亦即获得您明确同意后,我们会向其他方转让我们已经获取的用户信息。
(三)披露
我们仅会在以下情况下,公开披露用户信息:
1. 已经获得您明确同意。
2. 在法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我们可能会公开披露用户信息。
3. 在法律法规允许的范围内,为维护奇安信科技、奇安信科技的关联方或合作伙伴、您或其他奇安信科技用户或社会公众利益、财产或安全免遭损害而有必要披露用户信息。
4. 法律法规规定的其他情形。
根据法律规定,共享、转让经去标识化处理的用户信息,且确保数据接收方无法复原并重新识别信息主体的,不属于用户信息的对外共享、转让及公开披露行为。请您知悉对此类数据的保存及处理将无需另行向您通知并征得您的同意。
四、 我们如何保护用户信息
我们已采取符合业界标准的安全防护措施保护您提供的用户信息,防止数据遭到未经授权访问、公开披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施,保护您的用户信息。
1. 我们通过发布隐私政策,实现用户信息处理的透明化,并建立用户意见反馈渠道,接受社会公众监督。
2. 我们会对可识别的个人身份信息进行加密传输和存储,以确保数据的保密性。
3. 我们在服务端部署访问控制机制,对可能接触到用户信息的工作人员采取最小够用授权原则,并定期核查访问人员名单和访问记录。
4. 我们存储用户信息的服务器系统均为安全加固后的操作系统。我们会对服务器操作进行账户审计及监控。如果发现外部公告有安全问题的服务器操作系统,奇安信科技会在第一时间会进行服务器安全升级,确保奇安信科技所有服务器系统及应用安全。
5. 我们为工作人员定期举办隐私保护相关法律法规培训,以加强工作人员的隐私保护意识。
6. 如果不幸发生我们的物理、技术或管理防护措施遭到破坏的事件,我们会及时启动应急预案,防止安全事件扩大,按照法律法规的要求上报国家主管机关,并及时采取推送、公告等合理、有效的方式向您告知安全事件的基本情况、可能的影响、已经采取的措施或将要采取的措施等。
五、 第三方产品或服务
本隐私政策不适用以下情况:
1. 将奇安信网神代码卫士嵌入到第三方产品(或服务),第三方产品(或服务)收集的信息。
2. 在奇安信网神代码卫士中接入的第三方服务、广告或其他公司、组织或个人所收集的信息。
六、 未成人信息保护
本系统面向的用户仅限于18岁以上的成年人。如果您是18岁以下的未成年人,请按照本协议提供的联系方式联系我们,我们将删除您的个人信息。
七、 隐私政策的变更和修订
我们的隐私政策可能变更。未经您明确同意,我们不会限制您按照本隐私政策所应享有的权利。
对于本隐私政策的重大变更,我们还会提供显著的通知(例如,在软件改版或升级、或您重新登录时,以弹窗形式对您进行及时通知)。
本政策所指的重大变更包括但不限于:
1. 我们的服务模式发生重大变化。如处理用户信息的目的、处理的用户信息类型、用户信息的使用方式等;
2. 我们在控制权等方面发生重大变化。如并购重组等引起的所有者变更等;
3. 用户信息共享、转让或公开披露的主要对象发生变化;
4. 您参与用户信息处理方面的权利及其行使方式发生重大变化;
5. 我们负责处理用户信息安全的责任部门、联络方式及投诉渠道发生变化时;
6. 用户信息安全影响评估报告表明存在高风险时。
八、 如何联系我们
如果您对我们的隐私政策及对用户信息的处理有任何疑问、意见、建议或投诉,请通过以下方式与我们联系:
用户热线:4009-303-120
联系邮箱:kefu@qianxin.com
九、隐私政策的生效
本隐私政策版本更新及生效日期为2021年6月。