產品簡介

HERCULES SecSAM 開源軟體風險管理平台可有效解決開源軟體（OSS）風險管控及軟體物料清單（SBOM）管理等複雜問題，並以軟體風險清單（CBOM）為風險評估技術框架，整合第三方軟體弱點報告（如原始碼掃描、弱點掃描報告等），介接問題追蹤管理系統的 CI/CD 工具，讓使用者於安全開發基礎上，以更彈性與便利的方式進行管理、追蹤及警示。

功能特色

• 第三方套件風險管理
  • 自動掃描產品之第三方套件之組成並分析其已揭露弱點，可支援ISO 27001、ISO 27034、IEC62443等標準與法規之產品風險管理要求，並符合ioXt聯盟之產品弱點關聯度評級標準。
• 產品風險管理
  • 結合既有CI/CT系統追蹤產品風險改善進程，快速分析並評估第三方套件潛在風險，並提供套件昇級與弱點解決建議方案。
• 軟體物料清單
  • 支援ISO 19925軟體物料清單（SBOM）標準格式與客製化SBOM數據，以SBOM為框架落實供應鏈管理，掌握SSDLC軟體開發循環。
• 產品安全弱點資料庫
  • 提供超過160,0000筆的已知弱點資料庫與690,0000筆第三方套件風險資料，支援第三方套件弱點查詢與數據正規化。
• 主動式產品安全事件監控
  • 提供每日資安事件歸納分析與產品關聯事件告警功能。

實績案例

• 案例一：某國際IoT品牌廠
  
  

問題

1. 客戶要求所有產品都需要進行測試，確保產品沒有安全漏洞，原本作法需花費大量人力時間成本進行開源軟體的漏洞比對
2. 部分開源軟體來自外部供應商，無法準確掌握開源軟體清單
3. 弱點資訊掌握太慢，跟不上被資安專家揭露弱點的速度

使用情境

1. 透過SecSAM僅需QA團隊1~2人操作即可分析公司產品中的開源軟體組成
2. 透過韌體掃描功能可輕鬆分析外包軟體廠商提供之Binary檔，可滿足針對外包廠商的產品驗收及弱點管理等需求

效益

1. 輕鬆掌握外包軟體廠商風險狀況
2. 自動化的協作平台、節省安全團隊人力
3. 完整保留弱點分析、審核、追蹤狀況之紀錄
   
   

• 案例2：某國際網通品牌廠
  
  

問題

1. 自家產品型號多，盤點產品型號並發現弱點程序複雜或且需花大量時間
2. 開源軟體(Open Source)多且分散，使用第三方套件弱點難以掌握
3. 弱點資訊掌握太慢，跟不上被資安專家揭露弱點的速度

使用情境

1. 在產品開發階段，提供PM與安全團隊產品資安弱點資料庫查詢與比對，避免使用具有弱點的Open Source
2. 安全團隊使用情資蒐集與關聯功能，當有新弱點被揭露時，即時主動通知PM、RD及安全負責人處理
3. 安全團隊可留存完善修記錄與追蹤狀況，供未來查核使用

效益

• 單一系統即滿足『產品資安風險管理』與『事件反應』，降低管理複雜度
• 即時發現弱點，協助客戶將原本2-3個月的弱點處理時間，縮短至2週以內，提升工作效率