- 02-8911-5035
- contact@onwardsecurity.com
產品 / 服務簡介
HERCULES SecSAM 開源軟體風險管理平台可有效解決開源軟體(OSS)風險管控及軟體物料清單(SBOM)管理等複雜問題,並以軟體風險清單(CBOM)為風險評估技術框架,整合第三方軟體弱點報告(如原始碼掃描、弱點掃描報告等),介接問題追蹤管理系統的 CI/CD 工具,讓使用者於安全開發基礎上,以更彈性與便利的方式進行管理、追蹤及警示。
功能特色
- 第三方套件風險管理
- 自動掃描產品之第三方套件之組成並分析其已揭露弱點,可支援ISO 27001、ISO 27034、IEC62443等標準與法規之產品風險管理要求,並符合ioXt聯盟之產品弱點關聯度評級標準。
- 產品風險管理
- 結合既有CI/CT系統追蹤產品風險改善進程,快速分析並評估第三方套件潛在風險,並提供套件昇級與弱點解決建議方案。
- 軟體物料清單
- 支援ISO 19925軟體物料清單(SBOM)標準格式與客製化SBOM數據,以SBOM為框架落實供應鏈管理,掌握SSDLC軟體開發循環。
- 產品安全弱點資料庫
- 提供超過160,0000筆的已知弱點資料庫與690,0000筆第三方套件風險資料,支援第三方套件弱點查詢與數據正規化。
- 主動式產品安全事件監控
- 提供每日資安事件歸納分析與產品關聯事件告警功能。
實績案例
- 案例1:某國際IoT品牌廠
問題
- 客戶要求所有產品都需要進行測試,確保產品沒有安全漏洞,原本作法需花費大量人力時間成本進行開源軟體的漏洞比對
- 部分開源軟體來自外部供應商,無法準確掌握開源軟體清單
- 弱點資訊掌握太慢,跟不上被資安專家揭露弱點的速度
使用情境
- 透過SecSAM僅需QA團隊1~2人操作即可分析公司產品中的開源軟體組成
- 透過韌體掃描功能可輕鬆分析外包軟體廠商提供之Binary檔,可滿足針對外包廠商的產品驗收及弱點管理等需求
效益
- 輕鬆掌握外包軟體廠商風險狀況
- 自動化的協作平台、節省安全團隊人力
- 完整保留弱點分析、審核、追蹤狀況之紀錄
- 案例2:某國際網通品牌廠
問題
- 自家產品型號多,盤點產品型號並發現弱點程序複雜或且需花大量時間
- 開源軟體(Open Source)多且分散,使用第三方套件弱點難以掌握
- 弱點資訊掌握太慢,跟不上被資安專家揭露弱點的速度
使用情境
- 在產品開發階段,提供PM與安全團隊產品資安弱點資料庫查詢與比對,避免使用具有弱點的Open Source
- 安全團隊使用情資蒐集與關聯功能,當有新弱點被揭露時,即時主動通知PM、RD及安全負責人處理
- 安全團隊可留存完善修記錄與追蹤狀況,供未來查核使用
效益
- 單一系統即滿足『產品資安風險管理』與『事件反應』,降低管理複雜度
- 即時發現弱點,協助客戶將原本2-3個月的弱點處理時間,縮短至2週以內,提升工作效率
