- 主题:开源软件资产测绘创业想法
从外部做黑盒扫描限制太多了
别人做一个白盒的方案就碾压了
白盒的方案成本低技术成熟
黑盒方案唯一的优势就是部署容易
【 在 gggchen 的大作中提到: 】
: 开源软件具有开放、共享、自由等特性,在软件开发中扮演着越来越重要的角色,也是软件供应链的重要组成部分。据Gartner调查显示,99%的组织在其 IT系统中使用了开源软件。而来自Sonatype公司的一项调查则显示,在参与调查的3000家企业中,每年每家企业平均下载 5000个开源软件。
: 然而,开源软件中存在大量的安全隐患,企业在享受开源软件带来的便利的同时,也在承担着巨大的安全风险。近年来,开源软件频繁爆出高危漏洞,例如Strusts2、OpenSSL等。这些组件很多都应用于信息系统的底层,并且应用范围非常广泛,因此漏洞带来的安全危害非同一般。
: 想研发一个开源软件资产测绘方面产品,利用web漏扫技术,结合开源软件特定的指纹库信息,识别企业资产内开源软件信息及版本号,根据漏洞库预警是否存在开源软件风险。进一步搭建POC库,自动或人工POC验证。
: ...................
--
FROM 223.104.228.*
漏扫 资产测绘 白盒开源组件管理
这些产品中间的缝隙实在太小了
【 在 gggchen 的大作中提到: 】
: 白盒技术门槛低,但是缺点是开发部门认为你是阻碍上线。
: 无论是传统的代码扫描、渗透测试,还是近期比较火的IAST。
: 测试区测试最大的难处就是开发部门配合的事项,
: ...................
--
FROM 118.29.7.*
暴露出来的漏洞有漏扫
资产有类似钟馗之眼之类的东西
开源组件管理也有白盒的组件管理
你做组件管理的工作,用漏扫的手段
立项的时候就很困难的
领导理解不了为什么我几套房子是多少平米的,我需要雇个私家侦探撬锁去量量
【 在 gggchen 的大作中提到: 】
: 按软件产品生命周期维度,或者按照扫描对象侧重点不同,还是区别明显。
: 专注一个领域,或者赋予旧的概念一个新的管理理念。或许就是产生价值的增长点。
:
--
修改:slowaction FROM 118.29.7.*
FROM 118.29.7.*