前段时间领导突然丢给我一条链接,让我部署一下这个平台看看。我们公司合规部门打算做一个合规平台,或许可以参考一些东西。
---
GitHub地址:https://github.com/momosecurity/bombus
## 简介
> 近年来,随着监管政策不断细化与收紧,企业安全合规日趋重要。而合规工作的落地,存在大量检查、审计类重复活动,而且随着企业人员和适用政策的叠加,人工成本也会逐渐上升。因此,为解决此类问题,我们设计并实施了安全合规审计系统,将控制落实、合规检查及跟踪汇报等合规审计类流程固化到线上系统,实际使用中起到良好效果。
> 初始检查策略依据为SOX法案有关要求,适用于在美国上市的公司。企业可根据自身需要配置检查策略。
## 部署
刚开始是在阿里云搞了台服务器,centos上装docker,安装还算顺利,不过项目默认是通过```127.0.0.1:60010```访问,如果要从通过其它IP访问,需要修改配置,翻了一下配置文件,没搞懂怎么配置,直接把配置文件中的```127.0.0.1```换成公网IP也不行,而且公司电脑访问特殊端口需要走申请流程,不想折腾,遂放弃(我太菜了)。
然后尝试在Windows下用Docker运行,不知什么原因,bombus_python这个容器总是会自动关闭,查看输出的日志,是某个python文件运行出错,并且日志中出现了```\r\n```的字样,初步判断,是Linux和Windows下换行符冲突了。
用VScode手动打开项目中的每一个python文件,转utf-8格式保存,还好文件不算多。
修改好格式后正常运行。

看样子使用的是django+mongo

后台首页,管理员的默认账号和密码都是admin。这背景图片,有种小学期项目的感觉。

发现logo的模糊的,而且似乎没对齐。。。
## 内容
### 用户管理

上图是权限管理列表,预设了管理员和审计员两种角色。
### 知识库
> 知识库是合规工作开展的基石,涵盖合规工作所依据的法律法规、内部制度等,让合规工作做到有据可依。

知识库管理,有点类似小Wiki,看样子是手动录入,以一条法规条文为最小单位。

### 资产清单
> 资产作为整个审计流程中最不可缺少的部分,分别包含应用系统的运营后台、数据库的实例和操作系统对应的主机等资产。为整个合规审查的基石, 数据采集的来源。 这里资产类型分为应用系统、数据库和操作系统。审计范围则对应不同的审计规格。

清单列表,但是目前我没有找到添加资产的地方。翻看GitHub上的说明,是通过调用API对资产进行操作。
### 策略配置

策略原子,看样子是基于正则表达式的。有点不太明白,这里的策略是针对谁的访问的。可能这个平台的设计不仅仅是给合规人员使用的,还有安全相关人员,或者说,安全合规,这两个合在一起,一种人员。
### 任务

任务列表,使用对象是谁,不太明确。

同样有增删改查
### 工作台

代办事项,相当于一个共享记事本。
### 操作日志

操作日志,登录、查看等不修改数据库的操作都能记录。

部署研究陌陌合规审计平台