开源干货爆料→宜信漏洞管理平台『洞察』开源啦!

阅读量182144

发布时间 : 2018-04-20 15:00:28

 

写在前面

作者浅言:做了多年应用安全一直想出点干货,经常看众大神分享经验,仰望的同时总是想有一天自己也能贡献点什么。在宜信工作许久,经验也积攒了一些,不敢说干货多硬,只能算是近几年工作经验的沉淀,作为宜信安全部出品的首个开源平台,希望能给阅读者带来启示和帮助。更欢迎同行各位大佬给予斧正,共同交流经验和从业心得体会,在此谢过。

 

– 0x01 功能介绍 –

『洞察』是宜信安全部开发,集成应用系统资产管理漏洞全生命周期管理安全知识库管理三位一体的管理平台。

★ 应用系统资产管理:对公司应用系统资产进行管理,包括系统名称、域名、重要级别、部门、负责人等。

★ 漏洞生命周期管理:对公司应用系统产生的安全漏洞进行线上提交、通告、知悉、复测、分类、风险计算、修复期限计算、邮件提醒、漏洞数据分析统计等。

★ 安全知识库管理:对安全知识、管理制度进行集中存放、线上学习、安全培训、知识传承等。

洞察使用了Python语言进行开发,利用Flask框架+MySQL+Docker部署实现。

洞察界面截图:

 

– 0x02 设计理念 –

应用安全管理从应用资产的风险评估开始,公司资产一旦多了之后,往往会面临资产不清晰、找不到负责人、漏洞持续跟踪成本高昂、安全知识难以沉淀、高频风险没有数据支持、不能有的放矢的解决核心问题,另外风险量化也是难题。

应用安全管理体系设计中,风险治理一般过程如下:

基于上述风险治理的实际需求,『洞察』应运而生。

– 0x03 平台亮点 –

使用『洞察』系统后,我们实现了以下目标,请看大图:

历史漏洞一目了然

漏洞跟踪有条不紊

学习案例信手拈来

威胁风险有理有据

安全要求精准管控

量化数字实时知晓

 

0x04 Github项目地址

说了这么多,最重要的来了,『洞察』宜信漏洞管理平台现在正式开源,更多详情请见github项目地址:

https://github.com/creditease-sec/insight

欢迎安全小伙伴使用、交流、fork、star、转发。

也欢迎安全小伙伴在使用洞察过程中和我们多多交流,扫描下方二维码,关注宜信安全应急响应中心公众号,回复“可供搜索的微信号+洞察”,我们的运营小姐姐九色鹿会拉你进群讨论。

本文由CESRC原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/103555

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
CESRC
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66