测试仪器
SecSAM_开源软件风险管理系统
摘要:HERCULES SecSAM 开源软件风险管理系统可有效解决开源软件(OSS) 风险管控及软件物料列表
(SBOM) 管理等复杂问题,并以软件风险列表 (CBOM) 为风险评估技术框架,整合第三方软件漏
洞报告 ( 如源码扫描、漏洞扫描报告等 ),介接问题追踪管理系统的 CI/CD 工具, 让使用者于安
全开发基础上,以更弹性与便利的方式进行管理、追踪及警示。
产品效益
完整开源软件列表
Binary 特征资料库 / 漏洞信息数据库 / 授权信息数据库
免 费
开 源 软 件 风 险 管 理 系 统
HERCULES SecSAM 开 源 软 件 风 险 管 理 系 统 可 有 效 解 决 开 源 软 件
( O S S ) 风险管控及软件物料列表 (SBOM) 管理等复杂问题, 并以软件
风险列表 (CBOM) 为 风险 评 估 技术 框 架 , 整 合 第 三方 软 件 漏洞 报 告
( 如源码扫描、 漏洞扫描报告等 ), 介接问题追踪管理系统的 CI/CD 工
具, 让使用者于安全开发基础上, 以更弹性与便利的方式进行管理、
追踪及警示。
◎ 采用 SBOM 与 CBOM 架构管理弱点风险评等: 藉由 SBOM 的建立与维护,分析 CVE 漏洞,协同每日 自动更新漏洞信息、漏洞测报管理及追踪审核机制,有 效监控产品与开源套件漏洞,实现完整的CBOM 管理。 ◎ 毋须源码即可轻松分析开源软件组件: 透过固件分析 (Firmware Analysis/Binary Analysis) 技 术,毋须源码即可分析第三方供应商提供的固件, 并支 持 CPE 标准格式,发掘产品开源软件组成。 ◎ 支持开源软件与第三方套件授权分析: 自动分析开源软件授权模式,例如:GPL、Apache、 LGPL 等,协助客户避免授权争议。 ◎ 整合 CI/CD 系统提升修补效率: 可整合已有的开发管理系统与工具,完善 CI/CD 流程。 内部风险 外部风险 ◎ 轻松建立软件物料列表: 利用自动化技术分析软件中的开源软件组成,建立风险 管理的基础,提高软件供应链安全性。 ◎ 提升产品漏洞处理时效: 透过软件风险列表,在开发、测试、运维等阶段进行漏 洞管理与追踪,并整合 CI/CD 开发工具,以利实时修 补。 ◎ 协助避免知识产权争议: 开源授权分析可协助检查开源软件组件之授权模式,避 免影响企业知识产权的利益。 ◎ 符合国际物联网信息安全标准要求: 采用国际物联网信息安全标准组织 ioXt 联盟的产品风险 评估方法,可符合国际标准要求并掌握产品风险等级。 |
