『洞察』是宜信安全部开发,集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。
『洞察』使用了Python语言进行开发,利用Flask框架+MySQL+Docker部署实现。
洞察界面截图如下:
应用安全管理从应用资产的风险评估开始,公司资产一旦多了之后,往往会面临资产不清晰、找不到负责人、漏洞持续跟踪成本高昂、安全知识难以沉淀、高频风险没有数据支持、不能有的放矢的解决核心问题,另外风险量化也是难题。
应用安全管理体系设计中,风险治理一般过程如下:
基于上述风险治理的实际需求,『洞察』应运而生。
使用『洞察』系统后,我们实现了以下目标,请看大图:
历史漏洞一目了然
漏洞跟踪有条不紊
学习案例信手拈来
安全要求精准管控
威胁风险有理有据
量化数字实时知晓
平台用户分为以下5种角色
以上5种角色对应的使用文档请见:
使用指南-匿名用户篇:https://github.com/creditease-sec/insight/blob/open-source/docs/anonymous_user.md
使用指南-普通用户篇:https://github.com/creditease-sec/insight/blob/open-source/docs/normal_user.md
使用指南-安全人员篇:https://github.com/creditease-sec/insight/blob/open-source/docs/sec_user.md
使用指南-安全管理员篇:https://github.com/creditease-sec/insight/blob/open-source/docs/sec_manager.md
使用指南-超级管理员篇:https://github.com/creditease-sec/insight/blob/open-source/docs/super_user.md
OWASP项目地址
洞察-宜信漏洞管理平台目前已被OWASP S-SDLC项目组正式收录,更多英文版详情请见OWASP S-SDLC项目地址:
https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Main
https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Related_stuffs
GitHub开源地址:https://github.com/creditease-sec/insight
内容来源:宜信技术学院