產(chǎn)品概述

由于軟件和數(shù)據(jù)在汽車上的使用越來越多，汽車越來越“智能化”，汽車行業(yè)面臨著重大的信息安全挑戰(zhàn)。2021年8月，ISO/SAE 21434正式發(fā)布，標(biāo)準(zhǔn)中對汽車的信息安全提出了規(guī)范化的要求，汽車信息安全不容忽視。

Cybellum是一款信息安全測試與管理工具，幫助汽車OEM及其供應(yīng)商在整個汽車生命周期內(nèi)大規(guī)模評估和降低安全風(fēng)險。它無需訪問源代碼，通過Cyber Digital Twins技術(shù)檢測開源軟件與第三方應(yīng)用程序的安全風(fēng)險，提供可實施的修復(fù)建議。從SBOM到漏洞管理、合規(guī)性驗證和持續(xù)風(fēng)險監(jiān)控，團(tuán)隊可以確保產(chǎn)品長期安全。

Cybellum已經(jīng)與國內(nèi)外整車廠和一級供應(yīng)商合作，加入了多個信息安全標(biāo)準(zhǔn)組織和聯(lián)盟，研發(fā)團(tuán)隊在汽車、醫(yī)療和工業(yè)行業(yè)的系統(tǒng)、架構(gòu)、法規(guī)方面有多年的經(jīng)驗。

產(chǎn)品特點

二進(jìn)制文件掃描，無需源代碼。支持20+架構(gòu)，60+文件格式，15+開發(fā)語言

漏洞來源廣泛，支持CVE、CWE、CNNVD等漏洞庫

通過Cyber Digital Twins核心技術(shù)，揭示了設(shè)備組件的組成和特征，包括硬件架構(gòu)、操作系統(tǒng)、SBOM、license、配置、api調(diào)用等

SBOM軟件物料清單，使供應(yīng)鏈更加透明

? 包的名稱、版本、路徑信息、供應(yīng)商

?license類型、license風(fēng)險

可以從組件、產(chǎn)品、系統(tǒng)三個不同的層面進(jìn)行管理，明晰不同層面的風(fēng)險與漏洞

可以進(jìn)行開源漏洞、零日漏洞評估

?開源漏洞：與已知漏洞庫進(jìn)行匹配，查找和驗證實際的安全威脅

?零日漏洞：結(jié)合SAST和DAST技術(shù)，根據(jù)CWE規(guī)范提取所有漏洞的特征自動生成零日漏洞列表

?對于開源漏洞和零日漏洞，提供可實施的修復(fù)建議，更快地修復(fù)漏洞

虛擬分析可以基于策略以及配置，將20%-90%不相關(guān)的漏洞進(jìn)行篩選，減少了用戶手動檢查的過程

可以進(jìn)行規(guī)范評估，支持多種類型的規(guī)范

持續(xù)風(fēng)險監(jiān)控與治理

?持續(xù)監(jiān)控新的漏洞，針對安全性變化發(fā)出警告

?對所有已部署的組件進(jìn)行管理，從宏觀上把控嚴(yán)重級別高的漏洞等

可以生成不同類型的報告，為每一個DT生成符合ISO 21434標(biāo)準(zhǔn)的報告

?SBOM、License與評估結(jié)果均可生成報告

?支持PDF、XLS、SPDX、CycloneDX格式

支持云部署和本地部署，不會泄露數(shù)據(jù)

支持多種平臺的集成：軟件安全評估可以集成到DevOps的開發(fā)和測試周期中，軟件構(gòu)建會自動進(jìn)行安全性測試，分析結(jié)果會返回給相關(guān)人員，無需手動發(fā)送報告

?資產(chǎn)管理平臺：Jfrog Artifactory、SAP

?CI/CD：Azure DevOps、Bamboo、BitBucket Pipelines、CircleCI、GitLab、Jenkins、Red Hat Ansible

?ALM/PLM：PTC Windchill RV&S、Siemens Polarion、Siemens PLM、IBM Jazz、Intland codebeamer

?Ticketing & Tracking：Asana、Jira

?OTA：Airbiquity、HARMAN Software Management (OTA) Solution

?SIEM & SOAR：ArcSight、IBM Qradar、IBM Resilient、ServiceNow、Splunk

應(yīng)用案例

審核編輯 黃宇