12月1日,软件供应链安全管理平台 SEAL 0.3 正式发布(以下简称“SEAL”),这是国内首个以全链路视角保护软件供应链的安全管理平台。两个月前 SEAL 0.2 发布,该版本创新性地提供了依赖项的全局汇总与关联,用户可以获得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。基于0.2版本的技术实践以及企业客户的反馈,在最新版本中,SEAL 为软件开发生命周期(SDLC)的各阶段都提供了安全扫描,包括代码仓库扫描、CI/CD构建流水线扫描、镜像构建物扫描、Kubernetes运行时扫描,同时提供自定义安全策略、漏洞优先级排序等特性帮助开发和安全团队有的放矢地解决安全问题。
产品试用:https://seal.io/trial
产品文档:https://seal-io.github.io/docs/
在软件供应链全链路的各个环节中(如开发、构建、运行),都有可能引入新的第三方依赖。根据 Sonatype 发布的《2021 年软件供应链现状报告》,为了加快软件上市时间,去年全球开发人员从第三方生态系统调用了超过 2.2 万亿个开源软件包或组件。而在过去三年的时间里,针对上游开源代码存储库的恶意攻击的数量增加了742%。
因此,将安全扫描能力覆盖到整个软件供应链可以有效管控整体安全风险,并且用户可以获取更清晰、直观的全局视图。
通过 SEAL 0.3,用户可以获得完整的从代码仓库到运行环境全软件供应链各环节扫描检测能力,包括:
镜像仓库列表
配置镜像仓库
导入K8S集群
扫描K8S集群
随着 DevOps 理念的推广,现代软件的构建发布变得更加敏捷和自动化。企业内部通常建设了成熟的 CI/CD 流水线以进行软件的构建发布,但近年来 CI/CD 流水线已成为软件供应链最危险的攻击面。因此,诸多企业用户希望将安全环节引入流水线中,以及早发现安全问题,降低修复成本,实现 DevSecOps。自 SEAL 0.3开始,用户可以在任意 CI/CD 流水线中集成SEAL的安全扫描功能,为软件构建发布提供安全屏障。
软件供应链囊括了软件开发到部署的各个环节,成千上万的依赖项被引入其中,因此想要手动掌握全链路的安全洞察极具挑战。SEAL 0.3 能够聚合管理全链路各个阶段的资源,为用户提供直观、简洁的全局视图,以帮助用户充分了解整个软件供应链上存在的安全风险,并通过资源之间的关联关系提供更合理的安全问题报告和处理对策。
企业常常面临供应链存在许多漏洞的情况,此时要求研发及安全团队将其全部修复则有些不切实际,因为团队人手有限而且并非所有安全漏洞都存在致命风险或被利用的可能。此外,根据不同的业务场景以及企业内部的具体情况,针对安全问题的修复策略也有所不同。为了帮助开发和安全团队高效解决安全问题,SEAL 提供了以下特性:
自动生成多策略修复建议
漏洞优先级排序
因时制宜处理安全问题
从 0.2 版本开始,SEAL 启用自研的聚合漏洞数据库,该数据库基于上游 GitHub、GitLab、OSV 、NVD 及 Ubuntu、Alpine 等漏洞数据库进行数据聚合、清洗及处理,并优化漏洞匹配规则。基于该数据库,SEAL 扫描出供应链中所包含的安全漏洞,并基于不同策略提供修复建议。
具体而言,SEAL 0.3 中有两种安全策略——【安全优先】和【兼容优先】,前者将推荐用户升级到漏洞最少的新版本,后者将为用户评估升级版本的兼容性。此外,修复建议还包括:
提供直接依赖和间接依赖的组件修复建议
提供修复前后的漏洞对比和安全风险信息汇总
通用漏洞评分系统 (CVSS) 是一个公共框架 ,安全漏洞等级通常由它来评定。CVSS的最终评分由基础指标评分、时间指标评分、环境指标评分等多个维度指标计算得出。其中时间指标和环境指标是可选的,在多数实践场景常被忽略,只使用静态的基础评分,这意味着 CVSS 的最终评分与安全漏洞的实际表现可能存在差距。
为了更精确地描述漏洞严重等级,SEAL 在 v0.3 中引入SSVC漏洞评估模型,即特定利益相关者漏洞分类。SSVC 基于决策树模型的模块化决策系统,避免“一刀切”的解决方案,为供应链上不同角色的漏洞管理相关方提供处理漏洞优先级的决策结果。具体来说,SEAL 0.3 可以根据SSVC漏洞评估模型基于 CVSS 评分、漏洞可利用性的EPSS指标、环境因素、资产重要性等因子对漏洞进行优先级排序,帮助用户将有限的资源投入到更关键的漏洞修复上。
在不同的用户场景中,针对扫描出来的安全问题需要做不同处理。SEAL 0.3中:
据第三方权威调研机构 Gartner 预测,到2025年全球将有45%的企业遭遇软件供应链攻击。相比传统安全问题,软件供应链安全问题隐蔽性更高、扩散速度更快、影响范围更大、破坏力更强,传统安全工具难以应付全链路、多阶段的安全问题,因此软件供应链安全管理平台 SEAL 0.3 是具有里程碑意义的版本更新,这一版本的发布意味着 SEAL 从安全产品到安全管理平台的转变,并在国内首创性地提出了以全链路视角保护软件供应链的产品理念。
“软件供应链安全管理平台 SEAL 内嵌灵活可插拔的扫描引擎SCE,可以接入多种第三方工具,如SAST、SCA等协同工作,也支持第三方生成的 SBOM 文件的导入。从架构设计上为上下游合作伙伴与 SEAL 的协同分工合作提供了基础,” 数澈软件联合创始人及CEO秦小康说,“与合作伙伴及客户的共赢是 SEAL 团队的基因,SEAL 希望与合作伙伴一起为企业和组织提供全链路的软件供应链安全保障。”
如果您想更直观地了解 SEAL 0.3 的新特性,点击下方视频查看功能演示:
https://www.bilibili.com/video/BV17D4y1s7SV/?spm_id_from=333.337.search-card.all.click
欢迎您访问下方链接申请试用 SEAL 0.3,我们为您准备了申请礼~
从文章发布之时到2022年12月8日 20:00期间申请试用的小伙伴,按照时间先后顺序逢6(即6、16、26...)即可获赠 SEAL 定制双肩包1只(如重复申请,以首次申请时间为准)。
产品试用申请:https://seal.io/trial
产品文档:https://seal-io.github.io/docs/
数澈软件 SEAL 成立于2022年,旨在构建新一代软件供应链安全解决方案,目前已完成数千万元种子轮融资。创始团队成员均来自业界应用最为广泛的 Kubernetes 管理平台 Rancher 的核心团队。其中,联合创始人及 CTO 梁胜博士是前 SUSE 全球工程及创新总裁,加入 SUSE 之前,梁胜博士于2014年9月创立全球著名的容器管理平台公司 Rancher Labs 并担任 CEO。
旗舰产品 SEAL 是国内首个全链路软件供应链安全管理平台,旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等全链路防护,并聚合SDLC各阶段的资源,为用户提供直观、简洁的全链路安全洞察,确保企业充分掌握软件供应链的安全风险状况,保障企业 IT 安全无虞。