一、導語

『洞察』是宜信安全部開發，整合應用系統資產管理、漏洞全生命週期管理、安全知識庫管理三位一體的管理平臺。

• 應用系統資產管理：對公司應用系統資產進行管理，包括系統名稱、域名、重要級別、部門、負責人等。
• 漏洞生命週期管理：對公司應用系統產生的安全漏洞進行線上提交、通告、知悉、複測、分類、風險計算、修復期限計算、郵件提醒、漏洞資料分析統計等。
• 安全知識庫管理：對安全知識、管理制度進行集中存放、線上學習、安全培訓、知識傳承等。

『洞察』使用了Python語言進行開發，利用Flask框架+MySQL+Docker部署實現。

洞察介面截圖如下：

二、設計理念

應用安全管理從應用資產的風險評估開始，公司資產一旦多了之後，往往會面臨資產不清晰、找不到負責人、漏洞持續跟蹤成本高昂、安全知識難以沉澱、高頻風險沒有資料支援、不能有的放矢的解決核心問題，另外風險量化也是難題。

應用安全管理體系設計中，風險治理一般過程如下：

基於上述風險治理的實際需求，『洞察』應運而生。

三、平臺亮點

使用『洞察』系統後，我們實現了以下目標，請看大圖：

歷史漏洞一目瞭然

漏洞跟蹤有條不紊

學習案例信手拈來

安全要求精準管控

威脅風險有理有據

量化數字實時知曉

四、使用指南

平臺使用者分為以下5種角色

• 匿名使用者：公司內部未登入使用者
• 普通使用者：普通登入使用者，指公司研發、業務、產品經理等。
• 安全人員：安全部門進行漏洞測試、提交、跟蹤修復的人員等。
• 安全管理員：安全部門對漏洞進行稽核的管理人員。
• 超級管理員：最高許可權賬號，對使用者的角色進行分配。

以上5種角色對應的 使用文件 請見：

：

：

：

：

：

五、專案地址

OWASP專案地址

洞察-宜信漏洞管理平臺目前已被OWASP S-SDLC專案組正式收錄，更多英文版詳情請見OWASP S-SDLC專案地址：

https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Main

https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Related_stuffs

：

內容來源：