Cybellum—資訊保安測試工具

產品概述

由於軟體和資料在汽車上的使用越來越多，汽車越來越“智慧化”，汽車行業面臨著重大的資訊保安挑戰。2021年8月，ISO/SAE 21434正式釋出，標準中對汽車的資訊保安提出了規範化的要求，汽車資訊保安不容忽視。

Cybellum是一款資訊保安測試與管理工具，幫助汽車OEM及其供應商在整個汽車生命週期內大規模評估和降低安全風險。它無需訪問原始碼，透過Cyber Digital Twins技術檢測開源軟體與第三方應用程式的安全風險，提供可實施的修復建議。從SBOM到漏洞管理、合規性驗證和持續風險監控，團隊可以確保產品長期安全。

Cybellum已經與國內外整車廠和一級供應商合作，加入了多個資訊保安標準組織和聯盟，研發團隊在汽車、醫療和工業行業的系統、架構、法規方面有多年的經驗。

產品特點

• 二進位制檔案掃描，無需原始碼。支援20+架構，60+檔案格式，15+開發語言

• 漏洞來源廣泛，支援CVE、CWE、CNNVD等漏洞庫

• 透過Cyber Digital Twins核心技術，揭示了裝置元件的組成和特徵，包括硬體架構、作業系統、SBOM、license、配置、api呼叫等

• SBOM軟體物料清單，使供應鏈更加透明

 包的名稱、版本、路徑資訊、供應商

 license型別、license風險

• 可以從元件、產品、系統三個不同的層面進行管理，明晰不同層面的風險與漏洞

• 可以進行開源漏洞、零日漏洞評估

 開源漏洞：與已知漏洞庫進行匹配，查詢和驗證實際的安全威脅

 零日漏洞：結合SAST和DAST技術，根據CWE規範提取所有漏洞的特徵自動生成零日漏洞列表

 對於開源漏洞和零日漏洞，提供可實施的修復建議，更快地修復漏洞

• 虛擬分析可以基於策略以及配置，將20%-90%不相關的漏洞進行篩選，減少了使用者手動檢查的過程

• 可以進行規範評估，支援多種型別的規範

• 持續風險監控與治理

 持續監控新的漏洞，針對安全性變化發出警告

 對所有已部署的元件進行管理，從宏觀上把控嚴重級別高的漏洞等

• 可以生成不同型別的報告，為每一個DT生成符合ISO 21434標準的報告

 SBOM、License與評估結果均可生成報告

 支援PDF、XLS、SPDX、CycloneDX格式

• 支援雲部署和本地部署，不會洩露資料

• 支援多種平臺的整合：軟體安全評估可以整合到DevOps的開發和測試周期中，軟體構建會自動進行安全性測試，分析結果會返回給相關人員，無需手動傳送報告

 資產管理平臺：Jfrog Artifactory、SAP

 CI/CD：Azure DevOps、Bamboo、BitBucket Pipelines、CircleCI、GitLab、Jenkins、Red Hat Ansible

 ALM/PLM：PTC Windchill RV&S、Siemens Polarion、Siemens PLM、IBM Jazz、Intland codebeamer

 Ticketing & Tracking：Asana、Jira

 OTA：Airbiquity、HARMAN Software Management (OTA) Solution

 SIEM & SOAR：ArcSight、IBM Qradar、IBM Resilient、ServiceNow、Splunk

應用案例