產品概述

       由于軟件和數據在汽車上的使用越來越多，汽車越來越“智能化”，汽車行業面臨著重大的信息安全挑戰。2021年8月，ISO/SAE 21434正式發布，標準中對汽車的信息安全提出了規范化的要求，汽車信息安全不容忽視。

       Cybellum是一款信息安全測試與管理工具，幫助汽車OEM及其供應商在整個汽車生命周期內大規模評估和降低安全風險。它無需訪問源代碼，通過Cyber Digital Twins技術檢測開源軟件與第三方應用程序的安全風險，提供可實施的修復建議。從SBOM到漏洞管理、合規性驗證和持續風險監控，團隊可以確保產品長期安全。

       Cybellum已經與國內外整車廠和一級供應商合作，加入了多個信息安全標準組織和聯盟，研發團隊在汽車、醫療和工業行業的系統、架構、法規方面有多年的經驗。

產品特點

       · 二進制文件掃描，無需源代碼。支持20+架構，60+文件格式，15+開發語言

       · 漏洞來源廣泛，支持CVE、CWE、CNNVD等漏洞庫

       · 通過Cyber Digital Twins核心技術，揭示了設備組件的組成和特征，包括硬件架構、操作系統、SBOM、license、配置、api調用等

       · SBOM軟件物料清單，使供應鏈更加透明

        ① 包的名稱、版本、路徑信息、供應商

        ② license類型、license風險

       · 可以從組件、產品、系統三個不同的層面進行管理，明晰不同層面的風險與漏洞

       · 可以進行開源漏洞、零日漏洞評估

        ① 開源漏洞：與已知漏洞庫進行匹配，查找和驗證實際的安全威脅

        ② 零日漏洞：結合SAST和DAST技術，根據CWE規范提取所有漏洞的特征自動生成零日漏洞列表

        ③ 對于開源漏洞和零日漏洞，提供可實施的修復建議，更快地修復漏洞

       · 虛擬分析可以基于策略以及配置，將20%-90%不相關的漏洞進行篩選，減少了用戶手動檢查的過程

       · 可以進行規范評估，支持多種類型的規范

       · 持續風險監控與治理

        ① 持續監控新的漏洞，針對安全性變化發出警告

        ② 對所有已部署的組件進行管理，從宏觀上把控嚴重級別高的漏洞等

       · 可以生成不同類型的報告，為每一個DT生成符合ISO 21434標準的報告

        ① SBOM、License與評估結果均可生成報告

        ② 支持PDF、XLS、SPDX、CycloneDX格式

       · 支持云部署和本地部署，不會泄露數據

       · 支持多種平臺的集成：軟件安全評估可以集成到DevOps的開發和測試周期中，軟件構建會自動進行安全性測試，分析結果會返回給相關人員，無需手動發送報告

        ① 資產管理平臺：Jfrog Artifactory、SAP

        ② CI/CD：Azure DevOps、Bamboo、BitBucket Pipelines、CircleCI、GitLab、Jenkins、Red Hat Ansible

        ③ ALM/PLM：PTC Windchill RV&S、Siemens Polarion、Siemens PLM、IBM Jazz、Intland codebeamer

        ④ Ticketing & Tracking：Asana、Jira

        ⑤ OTA：Airbiquity、HARMAN Software Management (OTA) Solution

        ⑥ SIEM & SOAR：ArcSight、IBM Qradar、IBM Resilient、ServiceNow、Splunk

應用案例