1、 产品安全监管已成“必选项”

随着网络空间安全对抗升级及合规形势的变化，无论是从用户需求还是法规监管层面，对信息技术产品的安全要求正变得日益严格。

• 用户层面（市场倒逼）

• 采购门槛提高： 客户要求厂商在采购前自主申报软件供应链情况，确保开源组件无漏洞或满足基线要求。

• 全生命周期合规： 产品上线前必须“体检”以避免带病上线；在维保期内，需配合重保或攻防演练，提供及时的漏洞修复支持。

• 法规监管层面（安全合规）

• 现有法规： 2021年工业和信息化部、国家互联网信息办公室、公安部等三部委印发的《网络产品安全漏洞管理规定》第五条、第七条、第十二条分别明确了产品漏洞管理的具体要求 。

• 未来趋势： 2025年国家互联网信息办公室《网络安全标识管理办法》（征求意见稿）要求产品需满足“基础级”安全要求，包括“不存在弱口令、建立漏洞管理及动态修复机制”等 。

2、中小软件厂商产品安全面临的困境

产品安全是一个系统性的、复杂的且长期的过程。通常需要引入SDLC、DevSecOps平台，结合软件成分分析SCA、交互式应用扫描IAST、代码扫描SAST、黑盒扫描DAST、人工代码审计、渗透测试等。并辅以专业的威胁和漏洞情报，同时需要配备专业的安全团队。

实际上，即使对大型厂商来说，也难以承受这种复杂性和成本压力。尤其是对于中小软件厂商来说，天然缺乏网络安全专业性，产品安全又增加额外的成本和复杂性，在产品利润日益趋薄的情况下，主观上不愿意投入。

但用户侧和国家监管的外部环境，又在倒逼软件厂商提升产品安全性，否则就可能会对产品竞争能力、产品销售带来影响，中小软件产品厂商正在面临着进退维谷的困境。

3、摄星科技Watchdog解决方案

3.1方案目标

在中小软件产品厂商缺少专业安全团队、缺少专业安全工具、缺少持续成本投入的情况下，助力其提升产品安全性，打造产品安全形象，形成差异化竞争能力。化被动为主动，打通与用户的常态化服务通道。

3.2方案概述

摄星科技资产漏洞情报具备覆盖全球的基础软硬件、开源组件产品信息和安全威胁信息24小时监测收集能力，以及安全风险画像能力，可为资产安全“体检“、供应链安全管理、漏洞预警通报、资产漏洞运营提供强有力支撑，已为多个国家和行业监主管机构、金融、能源等行业客户提供了持续服务。

摄星玄猫是专门针对中小软件产品厂商推出的资产漏洞情报SaaS服务平台。为厂商自研产品中使用的基础软硬件、开源组件提供安全性评估、7*24小时的漏洞及其合规和威胁监测、即时的漏洞预警、零门槛漏洞修复建议。旨在以轻资产、无专业性要求、低成本的优势为中小软件产品厂商提供安全合规解决方案。其特点和优势如下：

• 轻资产

无需购买各类专业的安全检测和分析工具，只需要购买SaaS服务账号，使用浏览器就可实现。

• 低成本

可根据自研产品使用的基础软硬件、开源组件的类型和数量、使用时间（月/年）来灵活购买，费用从每月¥999到每月¥2999不等。

• 零专业门槛

基于基础软硬件、开源组件安全画像，普通研发人员只需要知道产品所使用的基础软硬件、开源组件名称和版本，即可自主完成产品漏洞发现、漏洞监测、漏洞优先级排布、漏洞修复等工作，保障自研产品在基础软硬件、开源组件层面的安全性。

• 化被动为主动

通过及时、全面掌握自研产品中安全漏洞情况，可提前有序安排评估、升级和测试工作。同时，通过SaaS服务平台7*24小时监测和即时漏洞预警，推动产品安全能力不断提升，形成主动服务氛围，搭建良好的用户互动和服务通道。

4、实际操作

1、梳理清单：在源代码项目中提取自研产品使用的基础软件、开源组件清单。支持Excel、SPDX/CycloneDX格式。

2、评估监测：导入上述文件，或人工新增等方式，将自研产品使用的基础软件、开源组件添加到SaaS平台的订阅产品清单，进行评估和监测。

3、接收配置：配置接收风险预警信息的邮箱、微信，可以是厂商不同的管理人员、开发者。同时可以灵活配置接收哪些风险信息。

4、实时预警：平台充当自研产品安全漏洞的7*24小时看门狗，用户通过微信、邮箱接收7*24小时的风险预警信息。

5、自主修复：接收到预警信息后，通过安全画像中全部版本、高风险版本、有漏洞版本、最新版本、安全版本、补丁和版本地址信息，以及版本的合规和威胁标签，开发人员在缺乏安全漏洞专业性的情况下，也可自主完成漏洞优先级评估、漏洞修复工作。

摄星科技的Watchdog解决方案，本质上是帮助中小软件厂商以SaaS化的低成本模式，通过外部赋能解决了内部安全能力不足的问题。它不仅满足了监管与客户的硬性要求，更将产品安全转化为企业的差异化竞争优势