我已经研究这个问题一段时间了,但还没有找到合适的东西。
我正在寻找一个可以跟踪安全漏洞修复状态的系统。类似“bugzilla for IT”的东西
我正在寻找的是一些非常简单的东西,可以实现以下功能:
- 批量输入需要修复的新漏洞
- 按用户分配
- AD/LDAP 身份验证
- 简单的界面来跟踪进度——研究、改变控制状态、补救等等。
- 历史搜索能力
- 能够进行除法运算
- 能够存储解决方案证明以供安全团队访问
- 依赖关系跟踪
- 基于Linux的是最好的(这是我的团队:))
- 免费是好的,但如果系统值得,成本就不那么重要了
系统不必具备所有这些功能,但如果具备那就太好了。
是的,我们可以使用我们的帮助台软件,但它有很多缺陷,例如触发 SLA 警报和处罚,以及在组外不易搜索。
我发现大多数错误跟踪系统都是面向开发人员的,老实说,它们远远超出了我的要求。
一如既往地非常感谢服务器故障输入!
答案1
好的,据我所知,没有产品可以做到这一点;必须自己动手。
至于起点,我将从 Metasploit 和 nmap 开始收集您的漏洞,将它们放入数据库(mysql、postgres 等),并使用该输入作为错误跟踪器(Trac、Redmine 等)的创建项,并将其用作您的票务引擎。
至于获取您的 AD/LDAP 身份验证记录,您可能可以使用 syslog 收集进行输入;我不确定您是否可以直接从那里收集到您的数据库中。
我不会说“如果你将其产品化,你就会致富”,但是通过正确的 SEO,你肯定可以获得大量的页面浏览量和/或咨询机会。
无论如何,我希望这对你来说是值得的,因为这将会有很多工作要做!;-)
更新:你调查过Metasploit?
答案2
我知道这个问题已经很久了,你可能已经找到了适合自己的解决方案,但如果没有,你研究过 Dradis 框架吗?它满足了你的大部分要求。坦白说,我为开发 Dradis 的团队工作。
从评估中收集您最喜欢的工具(Nmap、Burp、Nessus 等)的输出后,使用 Dradis 将它们编译为单个项目。
使用规则引擎对发现的结果进行重复数据删除,并从问题库中将供应商的描述更新为您自己的描述。
将问题分配给用户以进行补救,并根据您认为合理的状态类别定制界面。
如果您有兴趣看一下 - 以下是不同计划和社区版本的比较:https://dradis.com/pro/editions.html