Поиск программного обеспечения для ручной инвентаризации программного обеспечения с сопоставлением известных уязвимостей из открытых источников
Я ищу приложение, в котором я могу вручную ввести выбранное мной программное обеспечение - без автоматической инвентаризации программного обеспечения - и это программное обеспечение автоматически сканируется на наличие известных уязвимостей (из общедоступных источников), как только я открываю программу. В лучшем случае это сразу дает мне ссылку на описание уязвимости. Так что это относительно небольшая программа с точки зрения функциональности.
Кто-нибудь знает о таком приложении и могут ли его порекомендовать? Есть ли сравнение разных приложений, чтобы мне было легче выбрать подходящее?
Предыстория заключается в том, что я отвечаю за безопасность программного обеспечения, продаваемого клиентам. Это веб-приложение, работающее на промышленном ПК. Я хотел бы провести инвентаризацию всех сервисов, которые активно работают в системе, и регулярно проверять их на наличие уязвимостей. Программное обеспечение промышленных ПК обычно очень редко обновляется у клиентов. Однако я хотел бы проинформировать клиента, если возникнут какие-либо уязвимости.
С уважением, Матиас
1 ответ
Я ищу нечто подобное для другого варианта использования. Я еще не закончил что-то оценивать, но попробую: https://snipeitapp.com/demo
Сообщите мне, что вы узнаете. Я счастлив поделиться своим опытом, когда закончу тестирование. Но это займет некоторое время, так как сейчас я очень занят.
Обновление 1: ссылка на GitHub https://github.com/snipe/snipe-it
Обновление 2: я открыл запрос на CVE-часть вашего вопроса https://github.com/snipe/snipe-it/issues/8728