Trabajo para una empresa de desarrollo de software / sistemas y busco mejorar la forma en que gestionamos la seguridad de la información dentro de nuestro proceso de desarrollo. Gran parte de lo que he encontrado en mi investigación inicial se centra en la gestión de vulnerabilidades dentro de la infraestructura de TI de una empresa, y no en los productos que desarrollan y despliegan. En particular, quiero un enfoque (y herramientas) que pueda ayudar a rastrear los activos, qué componentes de terceros han sido incluidos en nuestros productos y qué vulnerabilidades existen. ¿Alguien tiene experiencia combinando el seguimiento de activos y la administración de vulnerabilidades para tal propósito?
¿Existen herramientas que integren el seguimiento de los componentes de terceros que se incluyen en un producto / lanzamiento y luego proporcionan algún tipo de evaluación de vulnerabilidad continua contra vulnerabilidades conocidas?
Estoy imaginando una herramienta que podría complementarse a cualquier sistema de compilación que cada equipo de desarrollo emplee para crear automáticamente una lista de materiales de BOM de software y luego hacer un seguimiento de las compilaciones que aún se están utilizando en producción y comparar los componentes activos con las bases de datos de vulnerabilidades conocidas .