漏洞管理

漏洞管理
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
开源工具 | 宜信漏洞管理平台“洞察”开源啦！宜信安全应急响应中心2018-04-16共316575人围观，发现 14 个不明物体工具
写在前面
宜信作为互联网金融老牌公司低调发展了11年，如今随着即将迈进第12年的步伐，宜信安全部也将从后台走向前端，5月宜信SRC即将上线，我们选择在这个时间将我们的漏洞管理平台『洞察』进行开源，一方面是为了给SRC预热，另一方面目前平台发展成熟，希望能够帮助更多同行伙伴完成自动化风险全生命周期的管理并实现风险的可量化，共建互联网金融行业的安全生态。

【特别关注】本月17日（明天）宜信将在freebuf上开设精品公开课，届时将介绍在普惠金融安全领域我们走过的路，课程中将不仅介绍『洞察』，还有其他在用平台的详细介绍，欢迎大家报名

http://www.freebuf.com/fevents/167905.html

0×01 平台介绍
『洞察』是宜信安全部开发，集成应用系统资产管理、漏洞全生命周期管理、安全知识库管理三位一体的管理平台。

应用系统资产管理：对公司应用系统资产进行管理，包括系统名称、域名、重要级别、部门、负责人等。

漏洞生命周期管理：对公司应用系统产生的安全漏洞进行线上提交、通告、知悉、复测、分类、风险计算、修复期限计算、邮件提醒、漏洞数据分析统计等。

安全知识库管理：对安全知识、管理制度进行集中存放、线上学习、安全培训、知识传承等。

洞察使用了Python语言进行开发，利用Flask框架+MySQL+Docker部署实现。

洞察界面截图：

1.png

2.png

0×02 设计理念
应用安全管理从应用资产的风险评估开始，公司资产一旦多了之后，往往会面临资产不清晰、找不到负责人、漏洞持续跟踪成本高昂、安全知识难以沉淀、高频风险没有数据支持、不能有的放矢的解决核心问题，另外风险量化也是难题。

3.png

应用安全管理体系设计中，风险治理一般过程如下

4.png

基于上述风险治理的实际需求，『洞察』应运而生。

0×03 平台亮点
使用『洞察』系统后，我们实现了以下目标，请看大图：

◇历史漏洞一目了然◇

5.png

◇漏洞跟踪有条不紊◇

6.png

◇学习案例信手拈来◇

7.png

◇威胁风险有理有据◇

8.png

◇安全要求精准管控◇

9.png

◇量化数字实时知晓◇

10.png

0×04 Github项目地址
说了这么多，最重要的来了，『洞察』宜信漏洞管理平台现在正式开源，更多详情请见github项目地址：

https://github.com/creditease-sec/insight

欢迎安全小伙伴使用、交流、fork、star、转发。

*本文作者：宜信安全应急响应中心，转载请注明来自FreeBuf.COM

宜信安全应急响应中心
宜信安全应急响应中心
2 篇文章
等级： 2级
||
上一篇：Metasploit的简单木马免杀技术及后渗透面临的问题下一篇：Veil-Evasion+PyJoiner捆绑两个EXE免杀思路分享
这些评论亮了

路人甲乙丙丁回复
只需要资产那一块，然而这里的资产只针对固定资产，无法详细记录软件资产，比如端口、服务，什么时候新增端口等
)6(亮了
发表评论已有 14 条评论

dear 2018-04-16回复 1楼
666

亮了(0)

路人甲乙丙丁 2018-04-16回复 2楼
只需要资产那一块，然而这里的资产只针对固定资产，无法详细记录软件资产，比如端口、服务，什么时候新增端口等

亮了(6)

testccc 2018-04-16回复 3楼
支持开源，赞！

亮了(0)

Odin001 (2级) 2018-04-16回复 4楼
666

亮了(0)

死宅10086 (7级) 2018-04-16回复 5楼
６６６

亮了(0)

小a 2018-04-16回复 6楼
感谢

亮了(0)

softbug 认证作者专栏作者(7级) i am here! 2018-04-16回复 7楼
这个东西是属于开发部，还是网络部，还是安全部？

亮了(0)

宜信安全应急响应中心 (2级) 2018-04-17回复
@ softbug 目前属于安全部，哈哈，感谢关注

亮了(0)

冷白开 (1级) 2018-04-17回复 8楼
东西是好东西，就是搭建有点费事

亮了(2)

公瑾风流 (3级) 这家伙太懒了，还未填写个人描述！ 2018-04-17回复 9楼
试装呢，安装确实挺费事。。。折腾一宿还没装上。

国内互联网公司开源是好事，不过开源的产品确实还需要一个较长的打磨过程，加油吧。

亮了(5)

caish2007 (3级) 2018-04-17回复 10楼
太好了，我一直想开发这个东西，有现成的。

后继可以在此基础上再加功能。

后续可以跟其它工具结合起来。

亮了(0)

jjjinlll (1级) 2018-04-19回复 11楼
话说我把漏洞管理丢到cmdb一个模块里了，自己没开发能力，交给运维开发了。目前都是自己录入，状态也是自己更，不知道啥时候可以让开发他们自己跟进漏洞状态。

亮了(0)

luroufan (1级) 2018-06-18回复 12楼
对于docker的版本和 centos的版本有严格要求吗？怎么弄，就是启动不起来

亮了(0)

小将rcok (1级) 2018-10-11回复 13楼
我的也起不来

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
宜信安全应急响应中心
宜信安全应急响应中心

这家伙太懒，还未填写个人描述！

2
文章数
3
评论数
最近文章
宜信防火墙自动化运维之路
2018.04.22

开源工具 | 宜信漏洞管理平台“洞察”开源啦！
2018.04.16

浏览更多
相关阅读
Windows间谍软件检测工具 – Detekt使用Burpsuite代理和pypcap抓包进行抢红包的尝试Web漏洞扫描器-UNISCAN 6.2发布自动化中间人攻击工具 – subterfuge专为渗透测试人员设计的 Python 工具大合集
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

文章评论