宜信開源|漏洞管理平臺『洞察』的設計理念和平臺功能

1、導語
『洞察』是宜信安所有開發，集成應用系統資產管理、漏洞全生命週期管理、安全知識庫管理三位一體的管理平臺。

應用系統資產管理：對公司應用系統資產進行管理，包括系統名稱、域名、重要級別、部門、負責人等。
漏洞生命週期管理：對公司應用系統產生的安全漏洞進行線上提交、通告、知悉、複測、分類、風險計算、修復期限計算、郵件提醒、漏洞數據分析統計等。
安全知識庫管理：對安全知識、管理制度進行集中存放、線上學習、安全培訓、知識傳承等。
『洞察』使用了Python語言進行開發，利用Flask框架+MySQL+Docker部署實現。

洞察界面截圖以下：

2、設計理念
應用安全管理從應用資產的風險評估開始，公司資產一旦多了以後，每每會面臨資產不清晰、找不到負責人、漏洞持續跟蹤成本高昂、安全知識難以沉澱、高頻風險沒有數據支持、不能有的放矢的解決核心問題，另外風險量化也是難題。

應用安全管理體系設計中，風險治理通常過程以下：

基於上述風險治理的實際需求，『洞察』應運而生。

3、平臺亮點
使用『洞察』系統後，咱們實現瞭如下目標，請看大圖：

歷史漏洞一目瞭然

漏洞跟蹤有條不紊

學習案例信手拈來

安全要求精準管控

威脅風險有理有據

量化數字實時知曉

4、使用指南
平臺用戶分爲如下5種角色

匿名用戶：公司內部未登陸用戶
普通用戶：普通登陸用戶，指公司研發、業務、產品經理等。
安全人員：安所有門進行漏洞測試、提交、跟蹤修復的人員等。
安全管理員：安所有門對漏洞進行審覈的管理人員。
超級管理員：最高權限帳號，對用戶的角色進行分配。
以上5種角色對應的使用文檔請見：

使用指南-匿名用戶篇：https://github.com/creditease...

使用指南-普通用戶篇：https://github.com/creditease...

使用指南-安全人員篇：https://github.com/creditease...

使用指南-安全管理員篇：https://github.com/creditease...

使用指南-超級管理員篇：https://github.com/creditease...

5、項目地址
OWASP項目地址

洞察-宜信漏洞管理平臺目前已被OWASP S-SDLC項目組正式收錄，更多英文版詳情請見OWASP S-SDLC項目地址：

https://www.owasp.org/index.p...

https://www.owasp.org/index.p...

GitHub開源地址：https://github.com/creditease...

內容來源：宜信技術學院