宜信開源|漏洞管理平臺『洞察』的設計理念和平臺功能

宜信技術學院發表於2019-07-10


一、導語

『洞察』是宜信安全部開發,整合應用系統資產管理、漏洞全生命週期管理、安全知識庫管理三位一體的管理平臺。

  • 應用系統資產管理:對公司應用系統資產進行管理,包括系統名稱、域名、重要級別、部門、負責人等。
  • 漏洞生命週期管理:對公司應用系統產生的安全漏洞進行線上提交、通告、知悉、複測、分類、風險計算、修復期限計算、郵件提醒、漏洞資料分析統計等。
  • 安全知識庫管理:對安全知識、管理制度進行集中存放、線上學習、安全培訓、知識傳承等。

『洞察』使用了Python語言進行開發,利用Flask框架+MySQL+Docker部署實現。

洞察介面截圖如下:

二、設計理念

應用安全管理從應用資產的風險評估開始,公司資產一旦多了之後,往往會面臨資產不清晰、找不到負責人、漏洞持續跟蹤成本高昂、安全知識難以沉澱、高頻風險沒有資料支援、不能有的放矢的解決核心問題,另外風險量化也是難題。

應用安全管理體系設計中,風險治理一般過程如下:

基於上述風險治理的實際需求,『洞察』應運而生。

三、平臺亮點

使用『洞察』系統後,我們實現了以下目標,請看大圖:

歷史漏洞一目瞭然

漏洞跟蹤有條不紊

學習案例信手拈來

安全要求精準管控

威脅風險有理有據

量化數字實時知曉

四、使用指南

平臺使用者分為以下5種角色

  • 匿名使用者:公司內部未登入使用者
  • 普通使用者:普通登入使用者,指公司研發、業務、產品經理等。
  • 安全人員:安全部門進行漏洞測試、提交、跟蹤修復的人員等。
  • 安全管理員:安全部門對漏洞進行稽核的管理人員。
  • 超級管理員:最高許可權賬號,對使用者的角色進行分配。

以上5種角色對應的 使用文件 請見:

使用指南-匿名使用者篇 :https://github.com/creditease-sec/insight/blob/open-source/docs/anonymous_user.md

使用指南-普通使用者篇 :https://github.com/creditease-sec/insight/blob/open-source/docs/normal_user.md

使用指南-安全人員篇 :https://github.com/creditease-sec/insight/blob/open-source/docs/sec_user.md

使用指南-安全管理員篇 :https://github.com/creditease-sec/insight/blob/open-source/docs/sec_manager.md

使用指南-超級管理員篇 :https://github.com/creditease-sec/insight/blob/open-source/docs/super_user.md

五、專案地址

OWASP專案地址

洞察-宜信漏洞管理平臺目前已被OWASP S-SDLC專案組正式收錄,更多英文版詳情請見OWASP S-SDLC專案地址:

https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Main

https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Related_stuffs

GitHub開源地址 :https://github.com/creditease-sec/insight

內容來源: 宜信技術學院


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69918724/viewspace-2650079/,如需轉載,請註明出處,否則將追究法律責任。

相關文章