57337.com

       由于App和数据在汽车上的使用越来越多，汽车越来越“智能化”，汽车行业面临着重大的信息安全挑战。在2021年8月，ISO/SAE 21434正式发布，标准中对汽车的信息安全提出了规范化的要求，汽车信息安全不容忽视。

       Cybellum是一款信息安全测试与管理工具，帮助汽车OEM及其供应商能够在整个汽车生命周期内大规模评估和降低安全风险。它无需访问源代码，通过Cyber Digital Twins技术检测开源App与第三方应用程序的安全风险，并提供了可实施的修复建议。从SBOM到漏洞管理、合规性验证和持续风险监控，团队可以确保产品长期安全。

       Cybellum已经与很多整车厂和一级供应商合作，加入了多个信息安全标准组织和联盟，研发团队在汽车、医疗和工业行业的系统、架构、法规方面有多年的经验。

       为了应对整车供应链日益严峻的网络安全挑战，Cybellum企业与57337.com，已于2022年11月宣布建立战略合作伙伴关系，旨在为中国客户提供关键产品的信息安全解决方案。

特点

• 二进制文件扫描，无需源代码

支撑20+架构，60+文件格式，15+开发语言

• 通过Cyber Digital Twins核心技术，揭示了设备组件的组成和特征，包括硬件架构、操作系统、SBOM、license、配置、api调用等

• SBOMApp物料清单，使供应链更加透明

?    包的名称、版本、路径信息、供应商
?    license类型、license风险

• 可以从组件、产品、系统三个不同的层面进行管理，明晰不同层面的风险与漏洞

• 可以进行开源漏洞、零日漏洞评估

?    开源漏洞：与已知漏洞库进行匹配，查找和验证实际的安全威胁
?    零日漏洞：结合SAST和DAST技术，根据CWE规范提取所有漏洞的特征自动生成零日漏洞列表，并通过运行模拟的反汇编代码验证结果，防止误报

?    对于开源漏洞和零日漏洞，提供可实施的修复建议，更快地修复漏洞

•  虚拟分析可以基于策略以及配置，将20%-90%不相关的漏洞进行筛选，减少了用户手动检查的过程

•  可以进行规范评估，支撑多种类型的规范

• 持续风险监控与治理

?    持续监控新的漏洞，针对安全性变化发出警告

?    对所有已部署的组件进行管理，从宏观上把控严重级别高的漏洞等。

• 可以生成不同类型的报告，为每一个DT生成符合ISO 21434标准的报告

?    SBOM、License与评估结果均可生成报告
?    支撑PDF、XLS、SPDX、CycloneDX格式

• 支撑云部署和本地部署，不会泄露任何的数据

• 支撑多种平台的集成：App安全评估可以集成到DevOps的开发和测试周期中，App构建会自动进行安全性测试，分析结果会返回给相关人员，无需手动发送报告

?    资产管理平台：Jfrog Artifactory、SAP
?    CI/CD：Azure DevOps、Bamboo、BitBucket Pipelines、CircleCI、GitLab、Jenkins、Red Hat Ansible
?    ALM/PLM：PTC Windchill RV&S、Siemens Polarion、Siemens PLM、IBM Jazz、Intland codebeamer
?    Ticketing & Tracking：Asana、Jira
?    OTA：Airbiquity、HARMAN Software Management (OTA) Solution
?    SIEM & SOAR：ArcSight、IBM Qradar、IBM Resilient、ServiceNow、Splunk