公司簡(jiǎn)介
Xygeni專注于通過(guò)應(yīng)用安全態(tài)勢(shì)管理(ASPM)平臺(tái)提升軟件開(kāi)發(fā)的安全性與效率���。我們提供對(duì)應(yīng)用風(fēng)險(xiǎn)的全面掌控��,實(shí)現(xiàn)從代碼到云端的統(tǒng)一安全視圖�����,并消除干擾以有效優(yōu)先處理風(fēng)險(xiǎn)�。憑借先進(jìn)的惡意軟件檢測(cè)與預(yù)警系統(tǒng)����,Xygeni在抵御新興威脅方面處于行業(yè)領(lǐng)先地位,確保軟件交付既快速又安全����。
從代碼到云端統(tǒng)一風(fēng)險(xiǎn)管理
Xygeni的應(yīng)用安全態(tài)勢(shì)管理(ASPM)革新團(tuán)隊(duì)對(duì)風(fēng)險(xiǎn)的可視化呈現(xiàn)、優(yōu)先級(jí)排序與修復(fù)流程��。我們的平臺(tái)提供實(shí)時(shí)可視化與情境化分析��,簡(jiǎn)化安全管理��,確保應(yīng)用程序從開(kāi)發(fā)到部署全程受保護(hù)���。
安全警報(bào)管理是重大挑戰(zhàn),尤其當(dāng)48%的企業(yè)每日接收超過(guò)10,000條警報(bào)時(shí)���。其中逾半數(shù)(高達(dá)52%)為誤報(bào)��,導(dǎo)致警報(bào)疲勞并削弱對(duì)安全系統(tǒng)的信任�。團(tuán)隊(duì)亟需幫助篩選噪音,而關(guān)鍵相關(guān)漏洞卻常被忽視���。
實(shí)踐表明�,通過(guò)采用最新技術(shù)�����,誤報(bào)率可降低60%����,顯著厘清安全態(tài)勢(shì),使團(tuán)隊(duì)專注應(yīng)對(duì)真實(shí)威脅���。
Xygeni的應(yīng)用安全態(tài)勢(shì)管理(ASPM)通過(guò)整合精準(zhǔn)的專有掃描技術(shù)與高級(jí)優(yōu)先級(jí)排序功能����,有效應(yīng)對(duì)這些挑戰(zhàn)����。該方案綜合考量資產(chǎn)關(guān)聯(lián)性、嚴(yán)重程度���、可利用性��、暴露風(fēng)險(xiǎn)��、業(yè)務(wù)影響及其他客戶自定義標(biāo)準(zhǔn)等上下文信息�,可減少多達(dá)90%的冗余警報(bào)。這種戰(zhàn)略聚焦使團(tuán)隊(duì)能優(yōu)先處理最緊迫問(wèn)題�����,顯著提升安全響應(yīng)效率���。
自動(dòng)化資產(chǎn)發(fā)現(xiàn)與庫(kù)存管理:
Xygeni自動(dòng)識(shí)別并歸檔軟件供應(yīng)鏈中的所有資產(chǎn)���,增強(qiáng)開(kāi)發(fā)部署流程的可視化與管控能力。從源代碼管理系統(tǒng)到構(gòu)建工具���、CI/CD工作流及分發(fā)機(jī)制��,Xygeni全面捕獲資產(chǎn)清單�,涵蓋代碼倉(cāng)庫(kù)�����、開(kāi)源/私有依賴項(xiàng)�����、包管理器����、管道與任務(wù)、腳本及構(gòu)建文件�����、插件工具����、基礎(chǔ)設(shè)施即代碼(IaC)模板及云資源。
此外�,Xygeni 自動(dòng)識(shí)別并持續(xù)監(jiān)控所有資產(chǎn),評(píng)估其相互依賴關(guān)系���,以及每個(gè)資產(chǎn)�����、應(yīng)用程序和客戶定義的組或類別的個(gè)體與整體安全態(tài)勢(shì)���。
用戶與貢獻(xiàn)者分析
Xygeni通過(guò)整合全面的協(xié)作者分析功能增強(qiáng)資產(chǎn)清點(diǎn)能力����。該分析對(duì)管理軟件倉(cāng)庫(kù)相關(guān)的管理用戶�、貢獻(xiàn)者及協(xié)作者至關(guān)重要。通過(guò)掃描評(píng)估開(kāi)發(fā)流程中個(gè)體的角色與活動(dòng)�,Xygeni助力組織實(shí)現(xiàn)最小權(quán)限原則,識(shí)別并緩解與非活躍用戶或權(quán)限過(guò)高用戶相關(guān)的風(fēng)險(xiǎn)�。核心功能包括:
1.全面權(quán)限審查:掃描所有對(duì)倉(cāng)庫(kù)具有讀取、寫(xiě)入或管理權(quán)限的SCM(源代碼管理)用戶賬戶���,涵蓋直接授予用戶或從倉(cāng)庫(kù)訪問(wèn)組繼承的權(quán)限����。
2.組與用戶追蹤:系統(tǒng)登記所有SCM組(含高權(quán)限用戶)����,確保監(jiān)控并管控所有潛在訪問(wèn)點(diǎn)。
3. 非SCM貢獻(xiàn)者識(shí)別:Xygeni還能識(shí)別未關(guān)聯(lián)SCM賬戶但曾提交代碼至Git歷史的用戶�。通過(guò)跨分支追蹤貢獻(xiàn)記錄,全面呈現(xiàn)影響代碼庫(kù)的開(kāi)發(fā)者全貌��。
高級(jí)動(dòng)態(tài)優(yōu)先級(jí)排序:
Xygeni的優(yōu)先級(jí)排序功能超越了標(biāo)準(zhǔn)方法,通過(guò)整合動(dòng)態(tài)漏斗機(jī)制實(shí)現(xiàn)深度定制與精準(zhǔn)篩選��??蛻艨稍趦?yōu)先級(jí)排序漏斗中定義多達(dá)八個(gè)階段�,不僅可按嚴(yán)重程度分級(jí),更能依據(jù)問(wèn)題類型和類別進(jìn)行定制�。這種靈活性確保每個(gè)組織都能根據(jù)自身安全政策和運(yùn)營(yíng)需求,聚焦于風(fēng)險(xiǎn)最高的漏洞�����。
該漏斗系統(tǒng)支持整合客戶自定義屬性與預(yù)配置階段(如可達(dá)性�、可利用性等),使組織能基于自身環(huán)境的關(guān)鍵標(biāo)準(zhǔn)進(jìn)一步優(yōu)化安全關(guān)注點(diǎn)��,更高效地管理漏洞�����。通過(guò)運(yùn)用Xygeni動(dòng)態(tài)漏斗���,團(tuán)隊(duì)可優(yōu)化安全工作��,確保關(guān)鍵問(wèn)題得到快速識(shí)別與處理�。
第三方安全報(bào)告整合:
Xygeni的應(yīng)用安全態(tài)勢(shì)管理(ASPM)平臺(tái)通過(guò)無(wú)縫集成第三方安全工具報(bào)告(包括靜態(tài)應(yīng)用安全測(cè)試SAST與軟件成分分析SCA工具)增強(qiáng)其能力。此整合使組織能夠利用現(xiàn)有技術(shù)棧�����,實(shí)現(xiàn)跨工具平臺(tái)的安全威脅全景視圖��。通過(guò)整合關(guān)聯(lián)這些報(bào)告����,Xygeni幫助團(tuán)隊(duì)在統(tǒng)一框架下理解自身安全態(tài)勢(shì),確保所有潛在漏洞得到高效識(shí)別���、優(yōu)先級(jí)排序與處理��。該集成主要優(yōu)勢(shì)包括:
• 統(tǒng)一安全儀表板:將各類工具的檢測(cè)結(jié)果整合至單一綜合儀表板����,便于監(jiān)控分析
• 增強(qiáng)威脅檢測(cè):融合多源數(shù)據(jù)提供更全面的安全風(fēng)險(xiǎn)評(píng)估
• 高效修復(fù)機(jī)制:通過(guò)集中化漏洞管理���,實(shí)現(xiàn)對(duì)安全問(wèn)題的快速協(xié)同響應(yīng)�����。
安全事件審計(jì)追蹤
Xygeni的應(yīng)用安全態(tài)勢(shì)管理平臺(tái)配備強(qiáng)大的安全審計(jì)追蹤功能��,可為每個(gè)資產(chǎn)生成完整的事件時(shí)間線�。該功能追蹤并記錄所有重要活動(dòng),包括變更����、更新及安全事件,確保用戶能清晰詳盡地查看軟件環(huán)境中每個(gè)資產(chǎn)的安全歷史記錄���。我們安全審計(jì)追蹤的核心能力包括:
• 事件登錄:每項(xiàng)資產(chǎn)相關(guān)的修改、更新或安全事件均被精確記錄����,形成可用于故障排查、合規(guī)審計(jì)及安全調(diào)查的關(guān)鍵時(shí)間序列記錄�����。
• 全面覆蓋:審計(jì)軌跡涵蓋從代碼提交���、構(gòu)建配置到部署活動(dòng)及配置修改等廣泛事件�,確保資產(chǎn)生命周期的各個(gè)環(huán)節(jié)均受監(jiān)控���。
• 便捷訪問(wèn)與可視化:用戶可通過(guò)Xygeni直觀界面輕松訪問(wèn)并可視化審計(jì)日志�,快速定位特定事件或模式。
• 強(qiáng)化安全合規(guī):通過(guò)詳細(xì)記錄每項(xiàng)資產(chǎn)的所有操作�,企業(yè)能提升安全態(tài)勢(shì)并滿足監(jiān)管要求,既便于驗(yàn)證流程合規(guī)性�,又能早期發(fā)現(xiàn)潛在安全漏洞。
快速高效的修復(fù)流程
Xygeni的ASPM平臺(tái)通過(guò)提供詳細(xì)指引和自動(dòng)化操作來(lái)優(yōu)化風(fēng)險(xiǎn)與漏洞修復(fù)流程�。針對(duì)每個(gè)具體問(wèn)題提供清晰可行的步驟,實(shí)現(xiàn)快速有效的解決����。與工單及追蹤工具的集成便于工作流更新,確保漏洞得到及時(shí)處理�。
第三方安全報(bào)告集成
Xygeni平臺(tái)支持上傳第三方工具及Xygeni掃描生成的報(bào)告。通過(guò)報(bào)告上傳命令�����,可將外部掃描結(jié)果整合至Xygeni生態(tài)系統(tǒng)進(jìn)行綜合分析與管理�。
上傳后,該命令將驗(yàn)證并規(guī)范化掃描結(jié)果�����,將其轉(zhuǎn)換為Xygeni標(biāo)準(zhǔn)格式����。標(biāo)準(zhǔn)化處理確保不同工具的檢測(cè)結(jié)果獲得統(tǒng)一處理���,從而優(yōu)化平臺(tái)的優(yōu)先級(jí)排序、過(guò)濾及修復(fù)工作流����。
用戶可指定報(bào)告文件及其格式,以確保準(zhǔn)確處理����。若未明確指定格式,系統(tǒng)將自動(dòng)推斷�����。此外�����,用戶可設(shè)置業(yè)務(wù)價(jià)值或架構(gòu)重要性等自定義屬性���,這些屬性將影響平臺(tái)對(duì)檢測(cè)結(jié)果的優(yōu)先級(jí)排序與處理方式。
Xygeni與眾多第三方安全工具集成��,增強(qiáng)了平臺(tái)管理各類安全評(píng)估的能力�����。以下是支持的掃描器及格式概述:
支持的分析類型:
• 軟件成分分析(SCA)
• 靜態(tài)應(yīng)用安全測(cè)試(SAST)
• 基礎(chǔ)設(shè)施即代碼(IaC)缺陷
• 密鑰檢測(cè)
支持工具:
• Checkmarx(SCA/SAST/IaC)
• Fortify(SAST)
• Snyk(SCA)
• Checkov(IaC)
• KICS(IaC)
• GitLeaks(機(jī)密信息)
支持格式:
• SARIF(多種分析類型的標(biāo)準(zhǔn)格式)
• JSON(廣泛用于所有類型分析)
• XML(特定用于某些SAST工具如Checkmarx)
• .fpr和.fvdl(專用于Fortify SAST)
