Отслеживание устранения уязвимостей системы безопасности

Я долго в этом разбирался, но ничего подходящего не нашел.

Я ищу систему для отслеживания статуса устранения уязвимостей безопасности. Что-то вроде "bugzilla for IT"

Я ищу что-то довольно простое, что позволяет:

пакетный ввод новых уязвимостей, которые необходимо исправить
Назначение пользователя
AD / LDAP аутентификация
Простой интерфейс для отслеживания прогресса - исследования, изменения состояния контроля, исправления и т. Д.
Возможность исторического поиска
Возможность делить на деление
Возможность хранить доказательства решения для доступа группы безопасности
Отслеживание зависимостей
Лучше всего на базе Linux (это моя группа :))
Бесплатно - это хорошо, но цена не имеет большого значения, если система того стоит.

Системы не обязательно должны иметь все эти функции, но если бы они были, это было бы здорово.

да, мы могли бы использовать наше программное обеспечение службы поддержки, но у него есть множество подводных камней, таких как запуск предупреждений SLA и штрафов, а также затрудненный поиск вне группы.

Большинство из того, что я обнаружил, - это системы отслеживания ошибок, ориентированные на разработчиков и явно избыточные для того, что я ищу.

Как всегда, приветствуется ввод сообщений об ошибках сервера!

security vulnerabilities

Хорошо, насколько я знаю, нет продукта, который бы это делал; придется катить самостоятельно.

Что касается отправных точек, я бы начал с Metasploit и nmap, чтобы собрать ваши уязвимости, поместить их в базу данных (mysql, postgres и т. Д.) И использовать эти входные данные в качестве элементов создания для отслеживания ошибок (Trac, Redmine и т. Д.) ) и использовать его в качестве механизма продажи билетов.

Что касается получения ваших записей аутентификации AD / LDAP, вы, вероятно, могли бы сделать это с помощью коллекции syslog; Я не уверен, можно ли собирать прямо оттуда в свою базу данных.

Я не буду заходить так далеко, чтобы утверждать, что «если бы вы это сделали, вы бы разбогатели», но с правильным SEO вы, безусловно, можете получить много просмотров страниц и / или консультационных предложений.

В любом случае, я надеюсь, что оно того стоит, потому что это будет много работы! ;-)

ОБНОВИТЬ: Вы изучали Metasploit?

Я понимаю, что этот вопрос очень старый, и вы, вероятно, нашли решение, которое вам подходит, но если нет - заглянули ли вы в Dradis Framework? Он ставит галочки в большинстве ваших полей. Откровенно говоря, я работаю в команде, которая делает Dradis.

После того, как вы соберете результаты ваших любимых инструментов из вашей оценки - Nmap, Burp, Nessus и т. Д., Используйте Dradis, чтобы скомпилировать их в один проект.

Используйте механизм правил для дедупликации результатов, обновите описание поставщика на свое собственное из библиотеки задач.

Назначайте проблемы пользователям, чтобы исправить и настроить интерфейс для категорий статуса, которые имеют для вас смысл.

Если вам интересно взглянуть - вот как сравниваются разные планы и версия для сообщества: https://dradisframework.com/pro/editions.html