freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

开源工具 | 宜信漏洞管理平台“洞察”开源啦!
2018-04-16 13:00:30

写在前面

宜信作为互联网金融老牌公司低调发展了11年,如今随着即将迈进第12年的步伐,宜信安全部也将从后台走向前端,5月宜信SRC即将上线,我们选择在这个时间将我们的漏洞管理平台『洞察』进行开源,一方面是为了给SRC预热,另一方面目前平台发展成熟,希望能够帮助更多同行伙伴完成自动化风险全生命周期的管理并实现风险的可量化,共建互联网金融行业的安全生态。

【特别关注】本月17日(明天)宜信将在freebuf上开设精品公开课,届时将介绍在普惠金融安全领域我们走过的路,课程中将不仅介绍『洞察』,还有其他在用平台的详细介绍,欢迎大家报名

http://www.freebuf.com/fevents/167905.html

0x01  平台介绍

『洞察』是宜信安全部开发,集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。

应用系统资产管理:对公司应用系统资产进行管理,包括系统名称、域名、重要级别、部门、负责人等。

漏洞生命周期管理:对公司应用系统产生的安全漏洞进行线上提交、通告、知悉、复测、分类、风险计算、修复期限计算、邮件提醒、漏洞数据分析统计等。

安全知识库管理:对安全知识、管理制度进行集中存放、线上学习、安全培训、知识传承等。

洞察使用了Python语言进行开发,利用Flask框架+MySQL+Docker部署实现。

洞察界面截图:


1.png

2.png

0x02  设计理念

应用安全管理从应用资产的风险评估开始,公司资产一旦多了之后,往往会面临资产不清晰、找不到负责人、漏洞持续跟踪成本高昂、安全知识难以沉淀、高频风险没有数据支持、不能有的放矢的解决核心问题,另外风险量化也是难题。

3.png

应用安全管理体系设计中,风险治理一般过程如下

4.png

基于上述风险治理的实际需求,『洞察』应运而生。

0x03  平台亮点

使用『洞察』系统后,我们实现了以下目标,请看大图:

◇历史漏洞一目了然◇

5.png

◇漏洞跟踪有条不紊◇

6.png

◇学习案例信手拈来◇

7.png

◇威胁风险有理有据◇

8.png

◇安全要求精准管控◇

9.png

◇量化数字实时知晓◇

10.png

0x04  Github项目地址

说了这么多,最重要的来了,『洞察』宜信漏洞管理平台现在正式开源,更多详情请见github项目地址:

https://github.com/creditease-sec/insight

欢迎安全小伙伴使用、交流、fork、star、转发。

*本文作者:宜信安全应急响应中心,转载请注明来自FreeBuf.COM

# 漏洞管理平台
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者