宜信開源|漏洞管理平臺『洞察』的設計理念和平臺功能
一、導語
『洞察』是宜信安全部開發,整合應用系統資產管理、漏洞全生命週期管理、安全知識庫管理三位一體的管理平臺。
- 應用系統資產管理:對公司應用系統資產進行管理,包括系統名稱、域名、重要級別、部門、負責人等。
- 漏洞生命週期管理:對公司應用系統產生的安全漏洞進行線上提交、通告、知悉、複測、分類、風險計算、修復期限計算、郵件提醒、漏洞資料分析統計等。
- 安全知識庫管理:對安全知識、管理制度進行集中存放、線上學習、安全培訓、知識傳承等。
『洞察』使用了Python語言進行開發,利用Flask框架+MySQL+Docker部署實現。
洞察介面截圖如下:
二、設計理念
應用安全管理從應用資產的風險評估開始,公司資產一旦多了之後,往往會面臨資產不清晰、找不到負責人、漏洞持續跟蹤成本高昂、安全知識難以沉澱、高頻風險沒有資料支援、不能有的放矢的解決核心問題,另外風險量化也是難題。
應用安全管理體系設計中,風險治理一般過程如下:
基於上述風險治理的實際需求,『洞察』應運而生。
三、平臺亮點
使用『洞察』系統後,我們實現了以下目標,請看大圖:
歷史漏洞一目瞭然
漏洞跟蹤有條不紊
學習案例信手拈來
安全要求精準管控
威脅風險有理有據
量化數字實時知曉
四、使用指南
平臺使用者分為以下5種角色
- 匿名使用者:公司內部未登入使用者
- 普通使用者:普通登入使用者,指公司研發、業務、產品經理等。
- 安全人員:安全部門進行漏洞測試、提交、跟蹤修復的人員等。
- 安全管理員:安全部門對漏洞進行稽核的管理人員。
- 超級管理員:最高許可權賬號,對使用者的角色進行分配。
以上5種角色對應的 使用文件 請見:
使用指南-匿名使用者篇 :https://github.com/creditease-sec/insight/blob/open-source/docs/anonymous_user.md
使用指南-普通使用者篇 :https://github.com/creditease-sec/insight/blob/open-source/docs/normal_user.md
使用指南-安全人員篇 :https://github.com/creditease-sec/insight/blob/open-source/docs/sec_user.md
使用指南-安全管理員篇 :https://github.com/creditease-sec/insight/blob/open-source/docs/sec_manager.md
使用指南-超級管理員篇 :https://github.com/creditease-sec/insight/blob/open-source/docs/super_user.md
五、專案地址
OWASP專案地址
洞察-宜信漏洞管理平臺目前已被OWASP S-SDLC專案組正式收錄,更多英文版詳情請見OWASP S-SDLC專案地址:
https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Main
https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Related_stuffs
GitHub開源地址 :https://github.com/creditease-sec/insight
內容來源: 宜信技術學院
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69918724/viewspace-2650079/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 漏洞管理平臺『洞察』部署指南
- JNPF快速開發平臺3.0版的設計理念與功能架構解析架構
- 宜信開源微服務任務排程平臺(SIA-TASK)微服務
- 宜信智慧監控平臺建設實踐|宜信技術沙龍
- 平臺型產品功能設計的需求抽象與升維適配|專訪宜信郭建偉抽象
- 【流沙】宜信安全資料平臺實踐
- 宜信微服務任務排程平臺建設實踐微服務
- 宜信智慧監控平臺建設實踐|分享實錄
- 資料中臺:宜信敏捷資料中臺建設實踐敏捷
- 平臺設計中的指令碼管理指令碼
- 論漏洞管理平臺的自我修養
- 宜信微服務任務排程平臺建設實踐|分享實錄微服務
- 構建dubbo分散式平臺-maven模組規劃和平臺功能導圖分散式Maven
- kubernetes管理平臺開源專案調研
- vSphere虛擬化管理平臺的功能
- 宜信開源|大資料可視洞察Davinci的安裝與配置攻略大資料
- 360BugCloud開源漏洞響應平臺正式上線GCCloud
- 網校平臺開發前的設計:應該具備哪些功能?
- 開源工具、平臺列表開源工具
- 開源物聯網平臺和智慧家居平臺
- 測試平臺系列(73) 設計測試計劃功能
- 黨委組織部資訊工作管理平臺開發,幹部管理平臺建設
- 滴滴開源AgileTC:敏捷測試用例管理平臺敏捷測試
- 什麼是裝置運營管理平臺(視覺化管理平臺的功能及優勢)視覺化
- killbill: 開源訂閱計費和支付平臺
- 開源測試平臺--MeterSphere
- ThinkPHP 3.2.2開發微信多使用者管理平臺PHP
- 速度提升50%!宜信區塊鏈Blockworm BaaS平臺的架構與特性解析區塊鏈BloCWorm架構
- 程式設計教育平臺程式設計
- 開源介面管理平臺YApi v1.4.3 元旦釋出API
- 6.PHP微信公眾平臺開發 - 翻譯功能開發PHP
- 全棧全平臺開源專案 CodeRiver 資料庫設計文件全棧資料庫
- .NET開源、功能強大、跨平臺的圖表庫 - LiveCharts2Echarts
- “淘寶” 開放平臺介面設計思路
- 開放式的檔案管理平臺
- ThinkPhp3.2.1開發的微信平臺PHP
- 信譽最好的購彩平臺 值得信賴的彩票平臺推薦
- AiDex Sharp快速開發平臺開源AIIDE