鉴于评测中心作为GB/T 34944-2017《Java语言源代码漏洞测试规范》等6项标准起草单位，国网电力科学研究院实验验证中心信息安全与软件测试实验室（以下简称国网电科院）为了提高国网电力系统源代码安全漏洞标准符合性检查质量，委托与我中心开展源代码安全漏洞的比对工作。2019年2月，评测中心首先明确了双方实验室间比对依据和范围、技术指标和内容、比对工具和方法等，并落实编制实验室比对作业指导书和java源代码（博客系统）案例等。

2019年3月，评测中心源代码测试部门依据《博客系统的源代码安全漏洞测试比对作业指导书》，并结合GB/T 34944-2017《Java语言源代码漏洞测试规范》和ZHETC/S-QD-C-Y-002《源代码安全漏洞测试规范》的相关标准和规范要求，开展实验室比对工作。

依据《博客系统的源代码安全漏洞测试比对作业指导书》相关要求，针对“博客系统”比对案例，共计1.1万行java 语言源代码，选择44个覆盖国家标准技术指标。我中心分别借助Fority（覆盖25项标准指标）和checkmarx（覆盖43项标准指标）自动化测试工具，采用自动化测试与人工分析相结合的办法，共发现135个安全漏洞。国网由于条件所限仅使用了Fortify工具（覆盖25项标准指标）进行测试，共发现83个安全漏洞。

针对双方共同选择的25项标准指标：评测中心定位了开放重定向、未限制危险类型文件的上传等6类共79个安全漏洞，经过人工分析，排除了10个误报，实际定位69个安全漏洞；国网定位6类共83个安全漏洞（存在2个技术指标10个未发现误报）。经过比对分析，评测中心由于工具试用版本，2个技术指标共4个安全漏洞出现漏报；国网未发现10个安全漏洞为误报。

通过本次比对，展现了评测中心源代码测试流程规范性和源代码测试工具多样性，尤其在技术人员标准掌控能力和源代码安全漏洞分析经验方面优势显著，但是也暴露出评测中心源代码安全自动化测试工具急需完善等问题。