SEAL 0.3 正式发布:国内首个全链路软件供应链安全管理平台

seal,正式,发布,国内,首个,链路,软件,供应链,安全,管理,平台 · 浏览次数 : 173

小编点评

**标题:SEAL 0.3 发布,为软件供应链全链路安全管理提供全方位防护** **前言:** 12月1日,软件供应链安全管理平台 SEAL 0.3 正式发布,是国内首个以全链路视角保护软件供应链的产品。 SEAL 0.3 提供代码安全、构建安全、依赖项安全及运行环境安全等全链路防护,并聚合SDLC各阶段的资源,为用户提供直观、简洁的全链路安全洞察。 **主要功能:** * 支持针对单个安全问题提交 Jira 事务支持 * 支持第三方生成的 SBOM 文件的导入 * 支持多种第三方工具的接入 * 提供 SDLC各阶段的资源聚合分析 **优势:** * 全链路视角:SEAL 0.3 利用灵活可插拔的扫描引擎SCE,可以接入多种第三方工具,为用户提供全链路安全防护。 * SDLC全链路安全: SEAL 0.3 提供SDLC各阶段的安全防护,包括代码安全、构建安全、依赖项安全及运行环境安全。 * 聚合资源: SEAL 0.3 聚合SDLC各阶段的资源,为用户提供直观、简洁的全链路安全洞察。 * 用户友好: SEAL 0.3 提供用户友好的界面和功能,确保用户轻松使用。 **目标用户:** * 所有软件供应链管理团队 * 所有代码安全团队 * 所有构建安全团队 * 所有依赖项安全团队 * 所有运行环境安全团队 **未来展望:** * SEAL 0.3 将持续扩展其功能并支持更多安全协议。 * SEAL 0.3 将与行业相关企业合作,为用户提供更全面的安全解决方案。 * SEAL 0.3 将在未来发展中保持持续创新,为软件供应链的安全发展做出重大贡献。

正文

12月1日,软件供应链安全管理平台 SEAL 0.3 正式发布(以下简称“SEAL”),这是国内首个以全链路视角保护软件供应链的安全管理平台。两个月前 SEAL 0.2 发布,该版本创新性地提供了依赖项的全局汇总与关联,用户可以获得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。基于0.2版本的技术实践以及企业客户的反馈,在最新版本中,SEAL 为软件开发生命周期(SDLC)的各阶段都提供了安全扫描,包括代码仓库扫描、CI/CD构建流水线扫描、镜像构建物扫描、Kubernetes运行时扫描,同时提供自定义安全策略、漏洞优先级排序等特性帮助开发和安全团队有的放矢地解决安全问题。
 
产品试用:https://seal.io/trial
产品文档:https://seal-io.github.io/docs/
 
WechatIMG6838.png
 

将安全扫描扩展至全链路

在软件供应链全链路的各个环节中(如开发、构建、运行),都有可能引入新的第三方依赖。根据 Sonatype 发布的《2021 年软件供应链现状报告》,为了加快软件上市时间,去年全球开发人员从第三方生态系统调用了超过 2.2 万亿个开源软件包或组件。而在过去三年的时间里,针对上游开源代码存储库的恶意攻击的数量增加了742%
 

因此,将安全扫描能力覆盖到整个软件供应链可以有效管控整体安全风险,并且用户可以获取更清晰、直观的全局视图。
 

保障云原生安全:支持容器镜像、K8S集群安全扫描

通过 SEAL 0.3,用户可以获得完整的从代码仓库到运行环境全软件供应链各环节扫描检测能力,包括:

  • 支持集成任意符合OCI标准的镜像仓库,并对其中的容器镜像进行安全扫描
  • 支持集成任意 Kubernetes 集群,扫描其中的工作负载配置及镜像
  • 第三方软件物料清单文件的扫描。例如,对第三方供应商提供的软件包生成 SBOM 并上传进行扫描。
     


镜像仓库列表
 


配置镜像仓库
 


导入K8S集群
 


扫描K8S集群
 

实现 DevSecOps:将安全融入 CI/CD 流水线

随着 DevOps 理念的推广,现代软件的构建发布变得更加敏捷和自动化。企业内部通常建设了成熟的 CI/CD 流水线以进行软件的构建发布,但近年来 CI/CD 流水线已成为软件供应链最危险的攻击面。因此,诸多企业用户希望将安全环节引入流水线中,以及早发现安全问题,降低修复成本,实现 DevSecOps。自 SEAL 0.3开始,用户可以在任意 CI/CD 流水线中集成SEAL的安全扫描功能,为软件构建发布提供安全屏障。
 

 

全链路安全洞察

软件供应链囊括了软件开发到部署的各个环节,成千上万的依赖项被引入其中,因此想要手动掌握全链路的安全洞察极具挑战。SEAL 0.3 能够聚合管理全链路各个阶段的资源,为用户提供直观、简洁的全局视图,以帮助用户充分了解整个软件供应链上存在的安全风险,并通过资源之间的关联关系提供更合理的安全问题报告和处理对策。
 

 

有的放矢,高效修复安全问题

企业常常面临供应链存在许多漏洞的情况,此时要求研发及安全团队将其全部修复则有些不切实际,因为团队人手有限而且并非所有安全漏洞都存在致命风险或被利用的可能。此外,根据不同的业务场景以及企业内部的具体情况,针对安全问题的修复策略也有所不同。为了帮助开发和安全团队高效解决安全问题,SEAL 提供了以下特性:

  • 自动生成多策略修复建议

  • 漏洞优先级排序

  • 因时制宜处理安全问题
     

自动生成多策略修复建议

从 0.2 版本开始,SEAL 启用自研的聚合漏洞数据库,该数据库基于上游 GitHub、GitLab、OSV 、NVD 及 Ubuntu、Alpine 等漏洞数据库进行数据聚合、清洗及处理,并优化漏洞匹配规则。基于该数据库,SEAL 扫描出供应链中所包含的安全漏洞,并基于不同策略提供修复建议。
 

具体而言,SEAL 0.3 中有两种安全策略——【安全优先】和【兼容优先】,前者将推荐用户升级到漏洞最少的新版本,后者将为用户评估升级版本的兼容性。此外,修复建议还包括:
提供直接依赖和间接依赖的组件修复建议
提供修复前后的漏洞对比和安全风险信息汇总
 

 

漏洞优先级排序

通用漏洞评分系统 (CVSS) 是一个公共框架 ,安全漏洞等级通常由它来评定。CVSS的最终评分由基础指标评分、时间指标评分、环境指标评分等多个维度指标计算得出。其中时间指标和环境指标是可选的,在多数实践场景常被忽略,只使用静态的基础评分,这意味着 CVSS 的最终评分与安全漏洞的实际表现可能存在差距。
 

为了更精确地描述漏洞严重等级,SEAL 在 v0.3 中引入SSVC漏洞评估模型,即特定利益相关者漏洞分类。SSVC 基于决策树模型的模块化决策系统,避免“一刀切”的解决方案,为供应链上不同角色的漏洞管理相关方提供处理漏洞优先级的决策结果。具体来说,SEAL 0.3 可以根据SSVC漏洞评估模型基于 CVSS 评分、漏洞可利用性的EPSS指标、环境因素、资产重要性等因子对漏洞进行优先级排序,帮助用户将有限的资源投入到更关键的漏洞修复上
 

因时制宜处理安全问题

在不同的用户场景中,针对扫描出来的安全问题需要做不同处理。SEAL 0.3中:

  • 支持针对单个安全问题提交Jira事务
  • 支持有时限或永久忽略安全问题。例如在修复不可用或经评估某安全漏洞没有实际影响的场景


 

优化升级用户体验

  • 支持服务端推送,实现更友好的用户交互。
  • 优化安全问题的分类展示。
     

共建软件供应链安全新生态

据第三方权威调研机构 Gartner 预测,到2025年全球将有45%的企业遭遇软件供应链攻击。相比传统安全问题,软件供应链安全问题隐蔽性更高、扩散速度更快、影响范围更大、破坏力更强,传统安全工具难以应付全链路、多阶段的安全问题,因此软件供应链安全管理平台 SEAL 0.3 是具有里程碑意义的版本更新,这一版本的发布意味着 SEAL 从安全产品到安全管理平台的转变,并在国内首创性地提出了以全链路视角保护软件供应链的产品理念
 

“软件供应链安全管理平台 SEAL 内嵌灵活可插拔的扫描引擎SCE,可以接入多种第三方工具,如SAST、SCA等协同工作,也支持第三方生成的 SBOM 文件的导入。从架构设计上为上下游合作伙伴与 SEAL 的协同分工合作提供了基础,” 数澈软件联合创始人及CEO秦小康说,“与合作伙伴及客户的共赢是 SEAL 团队的基因,SEAL 希望与合作伙伴一起为企业和组织提供全链路的软件供应链安全保障。”
 

欢迎下载使用

如果您想更直观地了解 SEAL 0.3 的新特性,点击下方视频查看功能演示:
https://www.bilibili.com/video/BV17D4y1s7SV/?spm_id_from=333.337.search-card.all.click

 
欢迎您访问下方链接申请试用 SEAL 0.3,我们为您准备了申请礼~

从文章发布之时到2022年12月8日 20:00期间申请试用的小伙伴,按照时间先后顺序逢6(即6、16、26...)即可获赠 SEAL 定制双肩包1只(如重复申请,以首次申请时间为准)。

 
产品试用申请:https://seal.io/trial
产品文档:https://seal-io.github.io/docs/
 

About SEAL

数澈软件 SEAL 成立于2022年,旨在构建新一代软件供应链安全解决方案,目前已完成数千万元种子轮融资。创始团队成员均来自业界应用最为广泛的 Kubernetes 管理平台 Rancher 的核心团队。其中,联合创始人及 CTO 梁胜博士是前 SUSE 全球工程及创新总裁,加入 SUSE 之前,梁胜博士于2014年9月创立全球著名的容器管理平台公司 Rancher Labs 并担任 CEO。
 

旗舰产品 SEAL 是国内首个全链路软件供应链安全管理平台,旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等全链路防护,并聚合SDLC各阶段的资源,为用户提供直观、简洁的全链路安全洞察,确保企业充分掌握软件供应链的安全风险状况,保障企业 IT 安全无虞。

与SEAL 0.3 正式发布:国内首个全链路软件供应链安全管理平台相似的内容:

SEAL 0.3 正式发布:国内首个全链路软件供应链安全管理平台

12月1日,软件供应链安全管理平台 SEAL 0.3 正式发布(以下简称“SEAL”),这是国内首个以全链路视角保护软件供应链的安全管理平台。两个月前 SEAL 0.2 发布,该版本创新性地提供了依赖项的全局汇总与关联,用户可以获得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。基于

Seal 0.4 发布:软件供应链安全洞察更上一层楼!

今天,我们很高兴宣布 Seal 0.4 已正式发布!在上一个版本中,Seal 完成了从单一产品到全链路平台的转变,通过全局视图帮助用户掌握软件开发生命周期各个环节的安全状况。 在 Seal 0.4 中,全局视图将再一步升级,软件供应链全链路的安全洞察得到进一步增强,新版本为用户提供了软件供应链知识图

建立成功平台工程的关键:自助式 IaC

从技术上讲,云一直都是自助式服务,但由于其在实践中的复杂性,许多开发人员并不喜欢。随着公司采用现代架构(云原生、无服务器等)和新的提供商(多云、SaaS 应用程序),以及云提供商发布更多服务,云变得更加难以使用。 这就是为什么有竞争力的工程团队现在都在想办法通过消除瓶颈来成倍提高其 DevOps、网

API 开发的后盾:平台工程提供强力动态支持

过去几年,开发团队一直在发展传统的 DevOps。一些开发人员认为,CloudOps 或 DeploymentOps 等新实践的兴起将会导致回到孤岛问题。其他人则不愿意在承担所有其他职责之外构建、部署、运行和维护运维。显然,确实需要新的云原生开发策略,而不是典型的 DevOps。这就是平台工程的用武

乌卡时代的云成本管理:从0到1了解FinOps

在上一篇文章中,我们介绍了企业云业务的成本构成以及目前面临的成本困境,以及当前企业逐步转向 FinOps 的行业趋势,这篇文章我们将详细聊聊 FinOps,包括概念、重要性以及成熟度评价指标。 随着对云服务和供应商的使用越来越多,可能会出现复杂性和管理上的挑战,导致成本超支和其他问题。曾在2018年

不谈虚的,平台即产品真的有那么好吗?

随着信息技术的高速发展,我们每隔一段时间就能看到一个热门术语在各大平台被分析和讨论。当我们上搜索引擎搜索相关词条,就会找到大量与该技术优势、亮点相关的文章。特别是“平台即产品”(PaaP)策略,其在实际应用中的利用价值和效用性成为近期关注的焦点。 虽然构建数字平台以促进协作和创新的理念听起来颇具前景

一文读懂 DevSecOps:工作原理、优势和实现

由于 DevOps 方法的广泛采用以及由此产生的快速产品交付和部署,许多部门已采用更敏捷的方法来开发生命周期。在满足市场速度和规模要求的同时,设计安全的软件一直是现代 IT 公司共同面临的问题。结果,超过 52% 的组织因为担心上市速度落后而放弃了安全性。 由于传统技术下的安全漏洞,生产版本也出现了

为什么软件供应链攻击愈演愈烈?

你可能或多或少在头条新闻中有看到过或了解过和软件供应链攻击相关的信息,比如 2020年的 SolarWinds 事件,再比如2021年的 Kaseya 事件(点击查看关联文章)。如果到目前为止你对软件供应链攻击尚不了解,那么这里有一个简要解释:当恶意代码在开发过程中被引入应用程序或软件程序,然后用于

漏洞评分高达9.8分!Text4Shell 会是下一个 Log4Shell吗?

在过去的几天里,Apache Commons Text 库中一个名为 Text4Shell 的新漏洞引起很大的轰动,该漏洞存在于 Apache Commons Text 1.5到1.9版本中。此警报于10月18日发布,此前检测到大量试图利用 CVE-2022-42889 安全漏洞的攻击尝试,该漏洞通

乐高式扩展:在Seal软件供应链防火墙中轻松集成代码规范工具

上个月,Seal 软件供应链防火墙 v0.2(以下简称“Seal”)正式发布,这一版本实现了可扩展架构,用户可以根据自身需求插件式集成原生或第三方解决方案,灵活扩展扫描能力。 在前一个版本中,Seal 集成了 SCA、SAST 和配置检查等功能,在这一架构中最大的优势是调试方便、调用链路短,但同时也