前段时间领导突然丢给我一条链接，让我部署一下这个平台看看。我们公司合规部门打算做一个合规平台，或许可以参考一些东西。 --- GitHub地址：https://github.com/momosecurity/bombus ## 简介 > 近年来，随着监管政策不断细化与收紧，企业安全合规日趋重要。而合规工作的落地，存在大量检查、审计类重复活动，而且随着企业人员和适用政策的叠加，人工成本也会逐渐上升。因此，为解决此类问题，我们设计并实施了安全合规审计系统，将控制落实、合规检查及跟踪汇报等合规审计类流程固化到线上系统，实际使用中起到良好效果。 > 初始检查策略依据为SOX法案有关要求，适用于在美国上市的公司。企业可根据自身需要配置检查策略。 ## 部署 刚开始是在阿里云搞了台服务器，centos上装docker，安装还算顺利，不过项目默认是通过```127.0.0.1:60010```访问，如果要从通过其它IP访问，需要修改配置，翻了一下配置文件，没搞懂怎么配置，直接把配置文件中的```127.0.0.1```换成公网IP也不行，而且公司电脑访问特殊端口需要走申请流程，不想折腾，遂放弃（我太菜了）。 然后尝试在Windows下用Docker运行，不知什么原因，bombus_python这个容器总是会自动关闭，查看输出的日志，是某个python文件运行出错，并且日志中出现了```\r\n```的字样，初步判断，是Linux和Windows下换行符冲突了。 用VScode手动打开项目中的每一个python文件，转utf-8格式保存，还好文件不算多。 修改好格式后正常运行。  看样子使用的是django+mongo  后台首页，管理员的默认账号和密码都是admin。这背景图片，有种小学期项目的感觉。  发现logo的模糊的，而且似乎没对齐。。。 ## 内容 ### 用户管理  上图是权限管理列表，预设了管理员和审计员两种角色。 ### 知识库 > 知识库是合规工作开展的基石，涵盖合规工作所依据的法律法规、内部制度等，让合规工作做到有据可依。  知识库管理，有点类似小Wiki，看样子是手动录入，以一条法规条文为最小单位。  ### 资产清单 > 资产作为整个审计流程中最不可缺少的部分，分别包含应用系统的运营后台、数据库的实例和操作系统对应的主机等资产。为整个合规审查的基石, 数据采集的来源。 这里资产类型分为应用系统、数据库和操作系统。审计范围则对应不同的审计规格。  清单列表，但是目前我没有找到添加资产的地方。翻看GitHub上的说明，是通过调用API对资产进行操作。 ### 策略配置  策略原子，看样子是基于正则表达式的。有点不太明白，这里的策略是针对谁的访问的。可能这个平台的设计不仅仅是给合规人员使用的，还有安全相关人员，或者说，安全合规，这两个合在一起，一种人员。 ### 任务  任务列表，使用对象是谁，不太明确。  同样有增删改查 ### 工作台  代办事项，相当于一个共享记事本。 ### 操作日志  操作日志，登录、查看等不修改数据库的操作都能记录。