今天,我們很高興宣布 Seal 0.4 已正式釋出!在上一個版本中,Seal 完成了從單一産品到全鍊路平台的轉變,通過全局視圖幫助使用者掌握軟體開發生命周期各個環節的安全狀況。
在 Seal 0.4 中,全局視圖将再一步更新,軟體供應鍊全鍊路的安全洞察得到進一步增強,新版本為使用者提供了軟體供應鍊知識圖、更細粒度的名額可視化以及更靈活可控的掃描配置等特性,幫助開發團隊深入覺察供應鍊元件之間的上下遊關系,及時發現潛在安全問題,進而降低修複成本。
産品試用:https://seal.io/trial
産品文檔:https://seal-io.github.io/docs/
全面直覺的安全洞察
軟體開發生命周期(SDLC)覆寫了從開發到部署、釋出的各個環節,每個環節都有可能引入新的依賴項,最終由成千上萬個直接或間接依賴項構成軟體供應鍊。這意味着在很大程度上依賴項的健康會影響整個軟體供應鍊的安全。
依賴項的健康程度涉及諸多影響因素:它的許可證是否合規?如果是開源元件,它是否被良好維護?在代碼中是否存在漏洞?漏洞的嚴重程度如何?
一個存在安全問題的依賴項同時也對上下遊元件産生影響,Endor Labs 在2022年釋出的《依賴項管理狀态報告》中指出,95%的易受攻擊的依賴項都是可傳遞的。 而在數量龐大的依賴項中通過手動的方式查找它們互相之間的傳遞關系無異于大海撈針。
是以,了解依賴項之間的關聯關系以及監控軟體供應鍊核心的安全名額對于保障軟體供應鍊安全至關重要。
軟體供應鍊知識圖
在 Seal 0.4 中新增了軟體供應鍊知識圖,直覺地展示供應鍊中的元件類型以及它們的關聯關系。此外,使用者可以設定多種檢索條件充分掌握軟體資産安全合規情況。
軟體供應鍊知識圖
例如,當使用者了解到某個漏洞嚴重等級評分較高,想要查詢該漏洞是否存在于軟體供應鍊中以及會影響到的所有軟體資産,那麼可以通過設定條件進行檢索:
另外,如果企業發現某個許可證不合規,也可以通過知識圖查找和某個許可證相關的所有軟體資産:
更細粒度的名額可視化
因為軟體供應鍊牽涉到整個軟體開發生命周期的各個環節以及各種類型的安全問題,比如許可證合規、元件漏洞、配置錯誤、密鑰洩露風險等,是以軟體供應鍊安全問題始終是繁瑣且複雜的。 是以,要準确掌握軟體供應鍊全鍊路的安全狀況就需要設定合理的且足夠細粒度的名額進行監控。
在 Seal 0.4 中,全局視圖将全面更新,使用者可以在概覽中檢視更豐富的統計資訊和名額資料,比如問題嚴重性分布、許可證依賴分布、問題趨勢等。
Seal 全局概覽
除概覽頁外,使用者可以在資源、應用詳情頁檢視趨勢圖表及其他安全問題名額,幫助開發團隊評估各自項目中的安全缺陷和修複情況。
靈活可控的掃描配置
Seal 0.3 将安全掃描擴充到了全鍊路,使用者可以獲得完整的從代碼倉庫到運作環境全軟體供應鍊各環節掃描檢測能力。Seal 0.4 将提供更靈活的掃描配置,讓開發團隊可以根據自身需求設定掃描頻率、觸發規則等,主要包括:
- 支援自定義源代碼倉庫掃描的Webhook觸發規則
- 支援自定義資源定期掃描的規則
- 支援自定義依賴元件修複建議的生成配置
建構開發者友好的全鍊路管理平台
為了響應不斷變化的市場需求,企業需要快速疊代産品以搶先獲得市場先機,進而擷取巨大的商業價值。要保證産品快速疊代并安全釋出,“左移”已經成為業界共識,即将測試、安全、FinOps等環節融入軟體開發流程中,加強各部門之間的協作。
當開發團隊也需要和安全團隊共同承擔安全責任時,減輕開發團隊的認知負擔、平滑學習曲線、降低學習成本變得尤為重要。Seal 緻力于建構開發者友好的全鍊路管理平台,通過直覺、詳細的可視化視圖為開發人員提供清晰地問題修複路徑,降低安全問題修複的成本。 在未來,Seal 将會針對開發人員的軟體開發流程體驗持續優化,請保持關注哦!
如果您對 Seal 0.4 感興趣,歡迎通路試用連結免費體驗嘗鮮:seal.io/trial