什么是开源风险?
开源软件的源代码公开性使得攻击者可以查看和修改代码,从而发现和利用潜在的漏洞,例如:代码注入漏洞、跨站脚本攻击(XSS)、文件上传漏洞、权限提升漏洞等,如果企业不能及时发现和修复这些漏洞,可能会导致严重的数据泄露,此外,还存在一定的运维技术和法律风险。
开源风险管理面临哪些挑战?
开源项目特有的风险管理挑战包括技术依赖、社区维护、安全漏洞、知识产权等问题,需要管理者或使用者及时理解与识别潜在风险,准确评估风险的影响程度,然后针对性地制定应对措施,并持续监控和跟踪风险,实现全生命周期的开源风险管理。
产品简介 | Product Introduction
核心功能 | Core functions
全面风险识别
基于开源软件供应链分析治理技术,完成对“软件断供/停服”威胁的评估,保障可靠的安全漏洞供给,持续监测供应链污染,快速排查投毒漏洞
运行时SBOM
识别开源软件直接依赖与间接依赖关系,全面构建资产软件物料清单(SBOM),包含操作系统、基础库、中间件、应用语言库和容器内软件供应链环境
多环境支持
支持信创服务器、云镜像等各类计算环境,涵盖Linux、Windows以及国产操作系统,登录式和Agent一键下发式扫描,实现24x7全天候无人值守自主监测
优先级策略
融合威胁情报、漏洞影响、攻击技术、资产权重等多项知识,采用智能风险评估算法对漏洞响应顺序进行“动态定级”,聚焦1%的紧急风险和7%的高危风险
AI+智能辅助
利用Vbot机器人查阅情报,更全面地调整漏洞优先级,基于SOAR理念内置工单流程,结合VPT技术自动分配修复任务,实现人机协同的高效管理模式
部署模式 | Deployment mode
私有云模式
Agent/登录式管理节点
功能强大性能较高
公有云模式
无需部署快捷使用
采购成本低性价比高
实时获取全网情报
漏洞检查箱
便携式可移动设备
可用于合规性检查
架构说明 | Architecture Description
用户层
系统管理员
普通用户
自定义
应用层
主机扫描
容器扫描
资产清点
端口扫描
基线配置核查
知识库
应用层
消息告警
修复优先级
智能修复建议
工单管理
供应链投毒/断供风险识别
业务层
漏洞及风险评估引擎
分布式漏洞管理引擎
软件供应链风险分析
业务层
资产暴露情况
威胁情报
修复方案推荐
资产清点
基线配置核查
软件依赖检测
业务层
漏洞评估
资产权重
情报关联分析
软件清单
主机漏洞检测
深层关系挖掘
业务层
网络环境
时间因子
关键漏洞预警
漏洞监测
容器漏洞检测
断供风险评估
业务层
PoC
CVSS
empty
策略定制
策略分发
进行时安全监测
知识层
知识挖掘技术
知识库
知识层
图挖掘
知识推理
深度学习
漏洞库
后门投毒库
数据层
图谱建构
数据采集
数据层
信息抽取
知识加工
知识融合
知识更新
数据采集系统
基础层
操作系统
业务应用服务器
数据库服务器
备份服务器
