Seal 0.4 发布:软件供应链安全洞察更上一层楼!

seal,发布,软件,供应链,安全,洞察,更上一层楼 · 浏览次数 : 54

小编点评

**Seal 0.4 发布,全链路安全洞察升级** **介绍** Seal 0.4 版本发布,全面升级了软件供应链安全洞察功能。该版本带来了以下主要改进: * **全局视图升级:**提供更全面的统计和指标,帮助开发团队全面掌握软件供应链的安全状况。 * **软件供应链知识图:**直观地展示供应链中的组件类型和关系。 * **细粒度的指标可视化:**提供更精细的指标,帮助开发团队更有效地发现安全问题。 * **灵活可控的扫描配置:**允许开发团队根据自身需求设置扫描频率和触发规则。 **功能改进** * **软件供应链知识图:**展示供应链中的组件类型和关系。 * **细粒度的指标可视化:**提供更精细的指标,帮助开发团队更有效地发现安全问题。 * **灵活可控的扫描配置:**允许开发团队根据自身需求设置扫描频率和触发规则。 **重要改进** * **依赖项健康度监控:**提供依赖项之间的关联关系和安全风险分析。 * **许可证合规性监控:**实时监控许可证是否符合规范。 **其他改进** * **全面直观的安全洞察软件开发生命周期 (SDLC):**涵盖从开发到部署、发布的所有环节。 * **支持自定义源代码仓库扫描:**为开发团队提供灵活的扫描配置。

正文

今天,我们很高兴宣布 Seal 0.4 已正式发布!在上一个版本中,Seal 完成了从单一产品到全链路平台的转变,通过全局视图帮助用户掌握软件开发生命周期各个环节的安全状况。
 

在 Seal 0.4 中,全局视图将再一步升级,软件供应链全链路的安全洞察得到进一步增强,新版本为用户提供了软件供应链知识图、更细粒度的指标可视化以及更灵活可控的扫描配置等特性,帮助开发团队深入觉察供应链组件之间的上下游关系,及时发现潜在安全问题,进而降低修复成本。
 

产品试用:https://seal.io/trial

产品文档:https://seal-io.github.io/docs/
 


 

全面直观的安全洞察

软件开发生命周期(SDLC)覆盖了从开发到部署、发布的各个环节,每个环节都有可能引入新的依赖项,最终由成千上万个直接或间接依赖项构成软件供应链。这意味着在很大程度上依赖项的健康会影响整个软件供应链的安全。
 

依赖项的健康程度涉及诸多影响因素:它的许可证是否合规?如果是开源组件,它是否被良好维护?在代码中是否存在漏洞?漏洞的严重程度如何?
 

一个存在安全问题的依赖项同时也对上下游组件产生影响,Endor Labs 在2022年发布的《依赖项管理状态报告》中指出,95%的易受攻击的依赖项都是可传递的。 而在数量庞大的依赖项中通过手动的方式查找它们相互之间的传递关系无异于大海捞针。
 

因此,了解依赖项之间的关联关系以及监控软件供应链核心的安全指标对于保障软件供应链安全至关重要。
 

软件供应链知识图

在 Seal 0.4 中新增了软件供应链知识图,直观地展示供应链中的组件类型以及它们的关联关系。此外,用户可以设置多种检索条件充分掌握软件资产安全合规情况。

软件供应链知识图
 

例如,当用户了解到某个漏洞严重等级评分较高,想要查询该漏洞是否存在于软件供应链中以及会影响到的所有软件资产,那么可以通过设置条件进行检索:


 

另外,如果企业发现某个许可证不合规,也可以通过知识图查找和某个许可证相关的所有软件资产:


 

更细粒度的指标可视化

因为软件供应链牵涉到整个软件开发生命周期的各个环节以及各种类型的安全问题,比如许可证合规、组件漏洞、配置错误、密钥泄露风险等,因此软件供应链安全问题始终是繁琐且复杂的。 因此,要准确掌握软件供应链全链路的安全状况就需要设置合理的且足够细粒度的指标进行监控。
 

在 Seal 0.4 中,全局视图将全面升级,用户可以在概览中查看更丰富的统计信息和指标数据,比如问题严重性分布、许可证依赖分布、问题趋势等。

Seal 全局概览
 

除概览页外,用户可以在资源、应用详情页查看趋势图表及其他安全问题指标,帮助开发团队评估各自项目中的安全缺陷和修复情况。



 

灵活可控的扫描配置

Seal 0.3 将安全扫描扩展到了全链路,用户可以获得完整的从代码仓库到运行环境全软件供应链各环节扫描检测能力。Seal 0.4 将提供更灵活的扫描配置,让开发团队可以根据自身需求设置扫描频率、触发规则等,主要包括:

  • 支持自定义源代码仓库扫描的Webhook触发规则
  • 支持自定义资源定期扫描的规则
  • 支持自定义依赖组件修复建议的生成配置
     

构建开发者友好的全链路管理平台

为了响应不断变化的市场需求,企业需要快速迭代产品以抢先获得市场先机,进而获取巨大的商业价值。要保证产品快速迭代并安全发布,“左移”已经成为业界共识,即将测试、安全、FinOps等环节融入软件开发流程中,加强各部门之间的协作。
 

当开发团队也需要和安全团队共同承担安全责任时,减轻开发团队的认知负担、平滑学习曲线、降低学习成本变得尤为重要。Seal 致力于构建开发者友好的全链路管理平台,通过直观、详细的可视化视图为开发人员提供清晰地问题修复路径,降低安全问题修复的成本。 在未来,Seal 将会针对开发人员的软件开发流程体验持续优化,请保持关注哦!
 

如果您对 Seal 0.4 感兴趣,欢迎访问试用链接免费体验尝鲜:seal.io/trial

与Seal 0.4 发布:软件供应链安全洞察更上一层楼!相似的内容:

Seal 0.4 发布:软件供应链安全洞察更上一层楼!

今天,我们很高兴宣布 Seal 0.4 已正式发布!在上一个版本中,Seal 完成了从单一产品到全链路平台的转变,通过全局视图帮助用户掌握软件开发生命周期各个环节的安全状况。 在 Seal 0.4 中,全局视图将再一步升级,软件供应链全链路的安全洞察得到进一步增强,新版本为用户提供了软件供应链知识图

SEAL 0.3 正式发布:国内首个全链路软件供应链安全管理平台

12月1日,软件供应链安全管理平台 SEAL 0.3 正式发布(以下简称“SEAL”),这是国内首个以全链路视角保护软件供应链的安全管理平台。两个月前 SEAL 0.2 发布,该版本创新性地提供了依赖项的全局汇总与关联,用户可以获得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。基于

建立成功平台工程的关键:自助式 IaC

从技术上讲,云一直都是自助式服务,但由于其在实践中的复杂性,许多开发人员并不喜欢。随着公司采用现代架构(云原生、无服务器等)和新的提供商(多云、SaaS 应用程序),以及云提供商发布更多服务,云变得更加难以使用。 这就是为什么有竞争力的工程团队现在都在想办法通过消除瓶颈来成倍提高其 DevOps、网

API 开发的后盾:平台工程提供强力动态支持

过去几年,开发团队一直在发展传统的 DevOps。一些开发人员认为,CloudOps 或 DeploymentOps 等新实践的兴起将会导致回到孤岛问题。其他人则不愿意在承担所有其他职责之外构建、部署、运行和维护运维。显然,确实需要新的云原生开发策略,而不是典型的 DevOps。这就是平台工程的用武

乌卡时代的云成本管理:从0到1了解FinOps

在上一篇文章中,我们介绍了企业云业务的成本构成以及目前面临的成本困境,以及当前企业逐步转向 FinOps 的行业趋势,这篇文章我们将详细聊聊 FinOps,包括概念、重要性以及成熟度评价指标。 随着对云服务和供应商的使用越来越多,可能会出现复杂性和管理上的挑战,导致成本超支和其他问题。曾在2018年

不谈虚的,平台即产品真的有那么好吗?

随着信息技术的高速发展,我们每隔一段时间就能看到一个热门术语在各大平台被分析和讨论。当我们上搜索引擎搜索相关词条,就会找到大量与该技术优势、亮点相关的文章。特别是“平台即产品”(PaaP)策略,其在实际应用中的利用价值和效用性成为近期关注的焦点。 虽然构建数字平台以促进协作和创新的理念听起来颇具前景

一文读懂 DevSecOps:工作原理、优势和实现

由于 DevOps 方法的广泛采用以及由此产生的快速产品交付和部署,许多部门已采用更敏捷的方法来开发生命周期。在满足市场速度和规模要求的同时,设计安全的软件一直是现代 IT 公司共同面临的问题。结果,超过 52% 的组织因为担心上市速度落后而放弃了安全性。 由于传统技术下的安全漏洞,生产版本也出现了

为什么软件供应链攻击愈演愈烈?

你可能或多或少在头条新闻中有看到过或了解过和软件供应链攻击相关的信息,比如 2020年的 SolarWinds 事件,再比如2021年的 Kaseya 事件(点击查看关联文章)。如果到目前为止你对软件供应链攻击尚不了解,那么这里有一个简要解释:当恶意代码在开发过程中被引入应用程序或软件程序,然后用于

漏洞评分高达9.8分!Text4Shell 会是下一个 Log4Shell吗?

在过去的几天里,Apache Commons Text 库中一个名为 Text4Shell 的新漏洞引起很大的轰动,该漏洞存在于 Apache Commons Text 1.5到1.9版本中。此警报于10月18日发布,此前检测到大量试图利用 CVE-2022-42889 安全漏洞的攻击尝试,该漏洞通

乐高式扩展:在Seal软件供应链防火墙中轻松集成代码规范工具

上个月,Seal 软件供应链防火墙 v0.2(以下简称“Seal”)正式发布,这一版本实现了可扩展架构,用户可以根据自身需求插件式集成原生或第三方解决方案,灵活扩展扫描能力。 在前一个版本中,Seal 集成了 SCA、SAST 和配置检查等功能,在这一架构中最大的优势是调试方便、调用链路短,但同时也