Lavoro per un'azienda di sviluppo di software / sistema e sto cercando di migliorare il modo in cui gestiamo la sicurezza delle informazioni all'interno del nostro processo di sviluppo. Molto di ciò che ho trovato nella mia ricerca iniziale è focalizzato sulla gestione delle vulnerabilità all'interno dell'infrastruttura IT di un'azienda, e non sui prodotti che sviluppano e implementano. In particolare, desidero un approccio (e strumenti) che possa aiutare a tenere traccia delle risorse, quali componenti di terze parti sono entrati nei nostri prodotti e quali vulnerabilità esistono. Qualcuno ha esperienza nel combinare il monitoraggio delle risorse e la gestione delle vulnerabilità per tale scopo?
Ci sono strumenti là fuori che integrano il monitoraggio di quali componenti di terze parti sono inclusi in un prodotto / release e quindi forniscono una sorta di valutazione continua della vulnerabilità contro vulnerabilità note?
Sto immaginando uno strumento che possa essere collegato a qualsiasi sistema di generazione utilizzato da ogni team di sviluppo per creare automaticamente una distinta base software e quindi tenere traccia di quali build sono ancora in uso nella produzione e confrontare i componenti attivi con noti database di vulnerabilità .