介绍&洞察
漏洞风险的管理基本上每个公司都会涉及到,过去一直都是每个公司开发自己的独立的功能,但是殊俗同归,基本都是漏洞的整个生命周期管理。站在工作台的角度,我们面对的画像是安全、运维侧的同学,所以我们更多面对这类人群去做深入,让他们用的更加舒服为主,而实际推进落地修复,更多依赖第三方集成来实现,这里有些洞察:
- 业务侧本身就有很多平台,如worktle、Jira、禅道、Wiki等,实际上大家都在做减法,我们再做个加法就有点难受了。
- 整个闭环周期其实在第三方平台已经能够快速满足提醒、跟进的能力,无需太多的操作即可实现,但第三方的集成要做更多的事,从评估、对接、再到研究、开发,就是时间周期,折腾下来还不一定能够通用,因为每个公司内部都不一样,涉及到如权限、身份、角色等,就更加麻烦了,所以一般都特别不好整。
- 涉及到多样的性的漏洞特征、多样性的数据源,内部系统直接对外拉通也很不安全,对内部会带来困扰,最常见就是漏洞直接第三方托管之后,被弱口令暴露出来。
元豚科技在漏洞管理这块有几个特点:
- 针对第三方数据源,我们开放OpenAPI,客户可以托管到云上,独立分离部署,第三方可以根据OpenAPI标签化的录入漏洞风险,直达W3A SOC的工作台里,再由安全人员进行管理处置。
- 内部拉通的动作,OpenAPI可以直接输出,可以找元豚科技帮您对接内部的服务,如Jira、禅道等第三方,也可以自己集成,数据源统一之后,自己就能玩,定制完一次之后,后续没有任何成本,直接就能同步到内部环境和平台,简单直接。
- 针对扫描器,或者定制的扫描服务,只要发现的问题,根据需要直接通过OpenAPI录入,可以自行完善闭环,快速方便,如已经打通了上游,这个就更加简单了。
使用方式
点击「漏洞管理」即可看到漏洞管理的功能,可以新建、处理漏洞的信息。
针对图片上传
图片上传这块,我们集成的是腾讯云的COS,直接上传到COS上,后续加入阿里云可选,目前先用COS。