12月1日,軟體供應鍊安全管理平台 SEAL 0.3 正式釋出(以下簡稱“SEAL”),這是國内首個以全鍊路視角保護軟體供應鍊的安全管理平台。兩個月前 SEAL 0.2 釋出,該版本創新性地提供了依賴項的全局彙總與關聯,使用者可以獲得軟體開發生命周期各個環節的可見性,進而以全局視角管理軟體供應鍊。基于0.2版本的技術實踐以及企業客戶的回報,在最新版本中,SEAL 為軟體開發生命周期(SDLC)的各階段都提供了安全掃描,包括代碼倉庫掃描、CI/CD建構流水線掃描、鏡像建構物掃描、Kubernetes運作時掃描,同時提供自定義安全政策、漏洞優先級排序等特性幫助開發和安全團隊有的放矢地解決安全問題。
産品試用:https://seal.io/trial
産品文檔:https://seal-io.github.io/docs/
将安全掃描擴充至全鍊路
在軟體供應鍊全鍊路的各個環節中(如開發、建構、運作),都有可能引入新的第三方依賴。根據 Sonatype 釋出的《2021 年軟體供應鍊現狀報告》,為了加快軟體上市時間,去年全球開發人員從第三方生态系統調用了超過 2.2 萬億個開源軟體包或元件。而在過去三年的時間裡,針對上遊開源代碼存儲庫的惡意攻擊的數量增加了742%。
是以,将安全掃描能力覆寫到整個軟體供應鍊可以有效管控整體安全風險,并且使用者可以擷取更清晰、直覺的全局視圖。
保障雲原生安全:支援容器鏡像、K8S叢集安全掃描
通過 SEAL 0.3,使用者可以獲得完整的從代碼倉庫到運作環境全軟體供應鍊各環節掃描檢測能力,包括:
- 支援內建任意符合OCI标準的鏡像倉庫,并對其中的容器鏡像進行安全掃描
- 支援內建任意 Kubernetes 叢集,掃描其中的工作負載配置及鏡像
- 第三方軟體物料清單檔案的掃描。例如,對第三方供應商提供的軟體包生成 SBOM 并上傳進行掃描。
鏡像倉庫清單
配置鏡像倉庫
導入K8S叢集
掃描K8S叢集
實作 DevSecOps:将安全融入 CI/CD 流水線
随着 DevOps 理念的推廣,現代軟體的建構釋出變得更加靈活和自動化。企業内部通常建設了成熟的 CI/CD 流水線以進行軟體的建構釋出,但近年來 CI/CD 流水線已成為軟體供應鍊最危險的攻擊面。是以,諸多企業使用者希望将安全環節引入流水線中,以及早發現安全問題,降低修複成本,實作 DevSecOps。自 SEAL 0.3開始,使用者可以在任意 CI/CD 流水線中內建SEAL的安全掃描功能,為軟體建構釋出提供安全屏障。
全鍊路安全洞察
軟體供應鍊囊括了軟體開發到部署的各個環節,成千上萬的依賴項被引入其中,是以想要手動掌握全鍊路的安全洞察極具挑戰。SEAL 0.3 能夠聚合管理全鍊路各個階段的資源,為使用者提供直覺、簡潔的全局視圖,以幫助使用者充分了解整個軟體供應鍊上存在的安全風險,并通過資源之間的關聯關系提供更合理的安全問題報告和處理對策。
有的放矢,高效修複安全問題
企業常常面臨供應鍊存在許多漏洞的情況,此時要求研發及安全團隊将其全部修複則有些不切實際,因為團隊人手有限而且并非所有安全漏洞都存在緻命風險或被利用的可能。此外,根據不同的業務場景以及企業内部的具體情況,針對安全問題的修複政策也有所不同。為了幫助開發和安全團隊高效解決安全問題,SEAL 提供了以下特性:
- 自動生成多政策修複建議
- 漏洞優先級排序
- 因時制宜處理安全問題
自動生成多政策修複建議
從 0.2 版本開始,SEAL 啟用自研的聚合漏洞資料庫,該資料庫基于上遊 GitHub、GitLab、OSV 、NVD 及 Ubuntu、Alpine 等漏洞資料庫進行資料聚合、清洗及處理,并優化漏洞比對規則。基于該資料庫,SEAL 掃描出供應鍊中所包含的安全漏洞,并基于不同政策提供修複建議。
具體而言,SEAL 0.3 中有兩種安全政策——【安全優先】和【相容優先】,前者将推薦使用者更新到漏洞最少的新版本,後者将為使用者評估更新版本的相容性。此外,修複建議還包括:
- 提供直接依賴和間接依賴的元件修複建議
- 提供修複前後的漏洞對比和安全風險資訊彙總
漏洞優先級排序
通用漏洞評分系統 (CVSS) 是一個公共架構 ,安全漏洞等級通常由它來評定。CVSS的最終評分由基礎名額評分、時間名額評分、環境名額評分等多個次元名額計算得出。其中時間名額和環境名額是可選的,在多數實踐場景常被忽略,隻使用靜态的基礎評分,這意味着 CVSS 的最終評分與安全漏洞的實際表現可能存在差距。
為了更精确地描述漏洞嚴重等級,SEAL 在 v0.3 中引入SSVC漏洞評估模型,即特定利益相關者漏洞分類。SSVC 基于決策樹模型的子產品化決策系統,避免“一刀切”的解決方案,為供應鍊上不同角色的漏洞管理相關方提供處理漏洞優先級的決策結果。具體來說,SEAL 0.3 可以根據SSVC漏洞評估模型基于 CVSS 評分、漏洞可利用性的EPSS名額、環境因素、資産重要性等因子對漏洞進行優先級排序,幫助使用者将有限的資源投入到更關鍵的漏洞修複上。
因時制宜處理安全問題
在不同的使用者場景中,針對掃描出來的安全問題需要做不同處理。SEAL 0.3中:
- 支援針對單個安全問題送出Jira事務
- 支援有時限或永久忽略安全問題。例如在修複不可用或經評估某安全漏洞沒有實際影響的場景
優化更新使用者體驗
- 支援服務端推送,實作更友好的使用者互動。
- 優化安全問題的分類展示。
共建軟體供應鍊安全新生态
據第三方權威調研機構 Gartner 預測,到2025年全球将有45%的企業遭遇軟體供應鍊攻擊。相比傳統安全問題,軟體供應鍊安全問題隐蔽性更高、擴散速度更快、影響範圍更大、破壞力更強,傳統安全工具難以應付全鍊路、多階段的安全問題,是以軟體供應鍊安全管理平台 SEAL 0.3 是具有裡程碑意義的版本更新,這一版本的釋出意味着 SEAL 從安全産品到安全管理平台的轉變,并在國内首創性地提出了以全鍊路視角保護軟體供應鍊的産品理念。
“軟體供應鍊安全管理平台 SEAL 内嵌靈活可插拔的掃描引擎SCE,可以接入多種第三方工具,如SAST、SCA等協同工作,也支援第三方生成的 SBOM 檔案的導入。從架構設計上為上下遊合作夥伴與 SEAL 的協同分工合作提供了基礎,” 數澈軟體聯合創始人及CEO秦小康說,“與合作夥伴及客戶的共赢是 SEAL 團隊的基因,SEAL 希望與合作夥伴一起為企業群組織提供全鍊路的軟體供應鍊安全保障。”
歡迎下載下傳使用
如果您想更直覺地了解 SEAL 0.3 的新特性,點選下方視訊檢視功能示範:
https://www.bilibili.com/video/BV17D4y1s7SV/?spm_id_from=333.337.search-card.all.click
歡迎您通路下方連結申請試用 SEAL 0.3,我們為您準備了申請禮~
從文章釋出之時到2022年12月8日 20:00期間申請試用的小夥伴,按照時間先後順序逢6(即6、16、26...)即可獲贈 SEAL 定制雙肩包1隻(如重複申請,以首次申請時間為準)。
産品試用申請:https://seal.io/trial
産品文檔:https://seal-io.github.io/docs/
About SEAL
數澈軟體 SEAL 成立于2022年,旨在建構新一代軟體供應鍊安全解決方案,目前已完成數千萬元種子輪融資。創始團隊成員均來自業界應用最為廣泛的 Kubernetes 管理平台 Rancher 的核心團隊。其中,聯合創始人及 CTO 梁勝博士是前 SUSE 全球工程及創新總裁,加入 SUSE 之前,梁勝博士于2014年9月創立全球著名的容器管理平台公司 Rancher Labs 并擔任 CEO。
旗艦産品 SEAL 是國内首個全鍊路軟體供應鍊安全管理平台,旨在為企業提供代碼安全、建構安全、依賴項安全及運作環境安全等全鍊路防護,并聚合SDLC各階段的資源,為使用者提供直覺、簡潔的全鍊路安全洞察,確定企業充分掌握軟體供應鍊的安全風險狀況,保障企業 IT 安全無虞。