「 微 瞳 」運(yùn)行時(shí)開(kāi)源風(fēng)險(xiǎn)管理平臺(tái)
—— 梳理軟件供應(yīng)鏈,識(shí)別開(kāi)源風(fēng)險(xiǎn),專享漏洞知識(shí)庫(kù),人機(jī)協(xié)同新模式
申 請(qǐng) 試 用 資 源 下 載什么是開(kāi)源風(fēng)險(xiǎn)?
開(kāi)源軟件的源代碼公開(kāi)性使得攻擊者可以查看和修改代碼,從而發(fā)現(xiàn)和利用潛在的漏洞,例如:代碼注入漏洞、跨站腳本攻擊(XSS)、文件上傳漏洞、權(quán)限提升漏洞等,如果企業(yè)不能及時(shí)發(fā)現(xiàn)和修復(fù)這些漏洞,可能會(huì)導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露,此外,還存在一定的運(yùn)維技術(shù)和法律風(fēng)險(xiǎn)。
開(kāi)源風(fēng)險(xiǎn)管理面臨哪些挑戰(zhàn)?
開(kāi)源項(xiàng)目特有的風(fēng)險(xiǎn)管理挑戰(zhàn)包括技術(shù)依賴、社區(qū)維護(hù)、安全漏洞、知識(shí)產(chǎn)權(quán)等問(wèn)題,需要管理者或使用者及時(shí)理解與識(shí)別潛在風(fēng)險(xiǎn),準(zhǔn)確評(píng)估風(fēng)險(xiǎn)的影響程度,然后針對(duì)性地制定應(yīng)對(duì)措施,并持續(xù)監(jiān)控和跟蹤風(fēng)險(xiǎn),實(shí)現(xiàn)全生命周期的開(kāi)源風(fēng)險(xiǎn)管理。
產(chǎn)品簡(jiǎn)介 | Product Introduction
核心功能 | Core functions
全面風(fēng)險(xiǎn)識(shí)別
基于開(kāi)源軟件供應(yīng)鏈分析治理技術(shù),完成對(duì)“軟件斷供/停服”威脅的評(píng)估,保障可靠的安全漏洞供給,持續(xù)監(jiān)測(cè)供應(yīng)鏈污染,快速排查投毒漏洞
運(yùn)行時(shí)SBOM 識(shí)別開(kāi)源軟件直接依賴與間接依賴關(guān)系,全面構(gòu)建資產(chǎn)軟件物料清單(SBOM),包含操作系統(tǒng)、基礎(chǔ)庫(kù)、中間件、應(yīng)用語(yǔ)言庫(kù)和容器內(nèi)軟件供應(yīng)鏈環(huán)境
多環(huán)境支持 支持信創(chuàng)服務(wù)器、云鏡像等各類計(jì)算環(huán)境,涵蓋Linux、Windows和國(guó)產(chǎn)操作系統(tǒng),登錄式/Agent一鍵下發(fā)式掃描,實(shí)現(xiàn)24x7全天候無(wú)人值守自主監(jiān)測(cè)
優(yōu)先級(jí)策略 融合威脅情報(bào)、漏洞影響、攻擊技術(shù)、資產(chǎn)權(quán)重等多項(xiàng)知識(shí),采用智能風(fēng)險(xiǎn)評(píng)估算法對(duì)漏洞響應(yīng)順序進(jìn)行“動(dòng)態(tài)定級(jí)”,聚焦1%的緊急風(fēng)險(xiǎn)和7%的高危風(fēng)險(xiǎn)
AI+智能輔助 利用Vbot機(jī)器人查閱情報(bào),更全面地調(diào)整漏洞優(yōu)先級(jí),基于SOAR理念內(nèi)置工單流程,結(jié)合VPT技術(shù)自動(dòng)分配修復(fù)任務(wù),實(shí)現(xiàn)人機(jī)協(xié)同的高效管理模式
部署模式 | Deployment mode
私有云模式
Agent/登錄式管理節(jié)點(diǎn)
功能強(qiáng)大性能較高
公有云模式
無(wú)需部署快捷使用
采購(gòu)成本低性價(jià)比高
實(shí)時(shí)獲取全網(wǎng)情報(bào)
漏洞檢查箱
便攜式可移動(dòng)設(shè)備
可用于合規(guī)性檢查
架構(gòu)說(shuō)明 | Architecture Description
用戶層
系統(tǒng)管理員
普通用戶
自定義
應(yīng)用層
主機(jī)掃描
容器掃描
資產(chǎn)清點(diǎn)
端口掃描
基線配置核查
知識(shí)庫(kù)
應(yīng)用層
消息告警
修復(fù)優(yōu)先級(jí)
智能修復(fù)建議
工單管理
供應(yīng)鏈投毒/斷供風(fēng)險(xiǎn)識(shí)別
業(yè)務(wù)層
漏洞及風(fēng)險(xiǎn)評(píng)估引擎
分布式漏洞管理引擎
軟件供應(yīng)鏈風(fēng)險(xiǎn)分析
業(yè)務(wù)層
資產(chǎn)暴露情況
威脅情報(bào)
修復(fù)方案推薦
資產(chǎn)清點(diǎn)
基線配置核查
軟件依賴檢測(cè)
業(yè)務(wù)層
漏洞評(píng)估
資產(chǎn)權(quán)重
情報(bào)關(guān)聯(lián)分析
軟件清單
主機(jī)漏洞檢測(cè)
深層關(guān)系挖掘
業(yè)務(wù)層
網(wǎng)絡(luò)環(huán)境
時(shí)間因子
關(guān)鍵漏洞預(yù)警
漏洞監(jiān)測(cè)
容器漏洞檢測(cè)
斷供風(fēng)險(xiǎn)評(píng)估
業(yè)務(wù)層
PoC
CVSS
empty
策略定制
策略分發(fā)
進(jìn)行時(shí)安全監(jiān)測(cè)
知識(shí)層
知識(shí)挖掘技術(shù)
知識(shí)庫(kù)
知識(shí)層
圖挖掘
知識(shí)推理
深度學(xué)習(xí)
漏洞庫(kù)
后門投毒庫(kù)
數(shù)據(jù)層
圖譜建構(gòu)
數(shù)據(jù)采集
數(shù)據(jù)層
信息抽取
知識(shí)加工
知識(shí)融合
知識(shí)更新
數(shù)據(jù)采集系統(tǒng)
基礎(chǔ)層
操作系統(tǒng)
業(yè)務(wù)應(yīng)用服務(wù)器
數(shù)據(jù)庫(kù)服務(wù)器
備份服務(wù)器
