宜信漏洞管理平台『洞察』

应用安全-刘胜 2018-09-11 浏览量:2086

一、写在 前|面

『洞察』是宜信安全部开发,集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。

  • 应用系统资产管理:对公司应用系统资产进行管理,包括系统名称、域名、重要级别、部门、负责人等。

  • 漏洞生命周期管理:对公司应用系统产生的安全漏洞进行线上提交、通告、知悉、复测、分类、风险计算、修复期限计算、邮件提醒、漏洞数据分析统计等。

  • 安全知识库管理:对安全知识、管理制度进行集中存放、线上学习、安全培训、知识传承等。

『洞察』使用了Python语言进行开发,利用Flask框架+MySQL+Docker部署实现。

▼ 洞察界面截图 ▼

1.png

2.png

二、设计 | 理念

应用安全管理从应用资产的风险评估开始,公司资产一旦多了之后,往往会面临资产不清晰、找不到负责人、漏洞持续跟踪成本高昂、安全知识难以沉淀、高频风险没有数据支持、不能有的放矢的解决核心问题,另外风险量化也是难题。

3.png

应用安全管理体系设计中,风险治理一般过程如下:

4.png

基于上述风险治理的实际需求,『洞察』应运而生。

三、平台 | 亮点

使用『洞察』系统后,我们实现了以下目标,请看大图:

▼ 历史漏洞一目了然 ▼

5.png

▼ 漏洞跟踪有条不紊 ▼

6.png

▼ 学习案例信手拈来 ▼

7.png

▼ 安全要求精准管控 ▼

8.png

▼ 威胁风险有理有据 ▼

9.png

▼ 量化数字实时知晓 ▼

10.png

四、Github | 项目地址

说了这么多,最重要的来了,洞察-宜信漏洞管理平台现在正式开源,更多详情请见github项目地址:https://github.com/creditease-sec/insight

12.png

欢迎安全小伙伴使用、交流、fork、star、转发,也欢迎安全小伙伴在使用洞察过程中和我们多多交流。

11.png

五、OWASP | 项目地址

洞察-宜信漏洞管理平台目前已被OWASP S-SDLC项目组正式收录,更多英文版详情请见OWASP S-SDLC项目地址:

https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Main

https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Related_stuffs

14.png

欢迎来自全球世界各地的安全小伙伴使用、交流、转发,也欢迎安全小伙伴在使用洞察过程中和我们多多交流。

13.png

扫描下方二维码,关注宜信安全应急响应中心公众号,回复“自己的微信号+洞察”,我们的运营小姐姐九色鹿会拉你进群讨论。

宜信安全应急响应中心.jpeg

◆ ◆ ◆  ◆ 


发现文章有错误、对内容有疑问,都可以通过关注宜信技术学院微信公众号(CE_TECH),在后台留言给我们。我们每周会挑选出一位热心小伙伴,送上一份精美的小礼品。快来扫码关注我们吧!

WX20180910-152158@2x.png

发现文章有错误、对内容有疑问,都可以通过关注宜信技术学院微信公众号(CE_TECH),在后台留言给我们。我们每周会挑选出一位热心小伙伴,送上一份精美的小礼品。快来扫码关注我们吧!
分享硬核IT 专注金融