1. 科技訊首頁(yè)
  2. 產(chǎn)經(jīng)

SEAL 0.3 正式發(fā)布:國(guó)內(nèi)首個(gè)全鏈路軟件供應(yīng)鏈安全管理平臺(tái)

陳晨 ? ? 產(chǎn)經(jīng)

12月1日,軟件供應(yīng)鏈安全管理平臺(tái) SEAL 0 3 正式發(fā)布(以下簡(jiǎn)稱“SEAL”),這是國(guó)內(nèi)首個(gè)以全鏈路視角保護(hù)軟件供應(yīng)鏈的安全管理平臺(tái)。兩個(gè)月前 SEAL 0 2 發(fā)布,該版本創(chuàng)新性地提供了依賴項(xiàng)的全局匯總與關(guān)聯(lián)

12月1日,軟件供應(yīng)鏈安全管理平臺(tái) SEAL 0.3 正式發(fā)布(以下簡(jiǎn)稱“SEAL”),這是國(guó)內(nèi)首個(gè)以全鏈路視角保護(hù)軟件供應(yīng)鏈的安全管理平臺(tái)。

兩個(gè)月前 SEAL 0.2 發(fā)布,該版本創(chuàng)新性地提供了依賴項(xiàng)的全局匯總與關(guān)聯(lián),用戶可以獲得軟件開發(fā)生命周期各個(gè)環(huán)節(jié)的可見(jiàn)性,進(jìn)而以全局視角管理軟件供應(yīng)鏈?;?.2版本的技術(shù)實(shí)踐以及企業(yè)客戶的反饋,在最新版本中,SEAL 為軟件開發(fā)生命周期(SDLC)的各階段都提供了安全掃描,包括代碼倉(cāng)庫(kù)掃描、CI/CD構(gòu)建流水線掃描、鏡像構(gòu)建物掃描、Kubernetes運(yùn)行時(shí)掃描,同時(shí)提供自定義安全策略、漏洞優(yōu)先級(jí)排序等特性幫助開發(fā)和安全團(tuán)隊(duì)有的放矢地解決安全問(wèn)題。

將安全掃描擴(kuò)展至全鏈路

在軟件供應(yīng)鏈全鏈路的各個(gè)環(huán)節(jié)中(如開發(fā)、構(gòu)建、運(yùn)行),都有可能引入新的第三方依賴。根據(jù) Sonatype 發(fā)布的《2021 年軟件供應(yīng)鏈現(xiàn)狀報(bào)告》,為了加快軟件上市時(shí)間,去年全球開發(fā)人員從第三方生態(tài)系統(tǒng)調(diào)用了超過(guò) 2.2 萬(wàn)億個(gè)開源軟件包或組件。而在過(guò)去三年的時(shí)間里,針對(duì)上游開源代碼存儲(chǔ)庫(kù)的惡意攻擊的數(shù)量增加了742%。

因此,將安全掃描能力覆蓋到整個(gè)軟件供應(yīng)鏈可以有效管控整體安全風(fēng)險(xiǎn),并且用戶可以獲取更清晰、直觀的全局視圖。

保障云原生安全:支持容器鏡像、K8S集群安全掃描

 

通過(guò) SEAL 0.3,用戶可以獲得完整的從代碼倉(cāng)庫(kù)到運(yùn)行環(huán)境全軟件供應(yīng)鏈各環(huán)節(jié)掃描檢測(cè)能力,包括:

支持集成任意符合OCI標(biāo)準(zhǔn)的鏡像倉(cāng)庫(kù),并對(duì)其中的容器鏡像進(jìn)行安全掃描

支持集成任意 Kubernetes 集群,掃描其中的工作負(fù)載配置及鏡像

第三方軟件物料清單文件的掃描。例如,對(duì)第三方供應(yīng)商提供的軟件包生成SBOM并上傳進(jìn)行掃描。

SEAL 0.3 正式發(fā)布:國(guó)內(nèi)首個(gè)全鏈路軟件供應(yīng)鏈安全管理平臺(tái)

實(shí)現(xiàn)DevSecOps:將安全融入CI/CD流水線

隨著 DevOps 理念的推廣,現(xiàn)代軟件的構(gòu)建發(fā)布變得更加敏捷和自動(dòng)化。企業(yè)內(nèi)部通常建設(shè)了成熟的 CI/CD 流水線以進(jìn)行軟件的構(gòu)建發(fā)布,但近年來(lái) CI/CD 流水線已成為軟件供應(yīng)鏈最危險(xiǎn)的攻擊面。因此,諸多企業(yè)用戶希望將安全環(huán)節(jié)引入流水線中,以及早發(fā)現(xiàn)安全問(wèn)題,降低修復(fù)成本,實(shí)現(xiàn) DevSecOps。自 SEAL 0.3開始,用戶可以在任意CI/CD流水線中集成SEAL的安全掃描功能,為軟件構(gòu)建發(fā)布提供安全屏障。

全鏈路安全洞察

軟件供應(yīng)鏈囊括了軟件開發(fā)到部署的各個(gè)環(huán)節(jié),成千上萬(wàn)的依賴項(xiàng)被引入其中,因此想要手動(dòng)掌握全鏈路的安全洞察極具挑戰(zhàn)。SEAL 0.3 能夠聚合管理全鏈路各個(gè)階段的資源,為用戶提供直觀、簡(jiǎn)潔的全局視圖,以幫助用戶充分了解整個(gè)軟件供應(yīng)鏈上存在的安全風(fēng)險(xiǎn),并通過(guò)資源之間的關(guān)聯(lián)關(guān)系提供更合理的安全問(wèn)題報(bào)告和處理對(duì)策。

SEAL 0.3 正式發(fā)布:國(guó)內(nèi)首個(gè)全鏈路軟件供應(yīng)鏈安全管理平臺(tái)

有的放矢,高效修復(fù)安全問(wèn)題

 

企業(yè)常常面臨供應(yīng)鏈存在許多漏洞的情況,此時(shí)要求研發(fā)及安全團(tuán)隊(duì)將其全部修復(fù)則有些不切實(shí)際,因?yàn)閳F(tuán)隊(duì)人手有限而且并非所有安全漏洞都存在致命風(fēng)險(xiǎn)或被利用的可能。此外,根據(jù)不同的業(yè)務(wù)場(chǎng)景以及企業(yè)內(nèi)部的具體情況,針對(duì)安全問(wèn)題的修復(fù)策略也有所不同。為了幫助開發(fā)和安全團(tuán)隊(duì)高效解決安全問(wèn)題,SEAL 提供了以下特性:

自動(dòng)生成多策略修復(fù)建議

漏洞優(yōu)先級(jí)排序

因時(shí)制宜處理安全問(wèn)題

自動(dòng)生成多策略修復(fù)建議

 

從 0.2 版本開始,SEAL 啟用自研的聚合漏洞數(shù)據(jù)庫(kù),該數(shù)據(jù)庫(kù)基于上游 GitHub、GitLab、OSV 、NVD及Ubuntu,Alpine 等漏洞數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)聚合、清洗及處理,并優(yōu)化漏洞匹配規(guī)則。基于該數(shù)據(jù)庫(kù),SEAL 掃描出供應(yīng)鏈中所包含的安全漏洞,并基于不同策略提供修復(fù)建議。

具體而言,SEAL 0.3 中有兩種安全策略——【安全優(yōu)先】和【兼容優(yōu)先】,前者將推薦用戶升級(jí)到漏洞最少的新版本,后者將為用戶評(píng)估升級(jí)版本的兼容性。此外,修復(fù)建議還包括:

提供直接依賴和間接依賴的組件修復(fù)建議

提供修復(fù)前后的漏洞對(duì)比和安全風(fēng)險(xiǎn)信息匯總

漏洞優(yōu)先級(jí)排序

通用漏洞評(píng)分系統(tǒng) (CVSS) 是一個(gè)公共框架,安全漏洞等級(jí)通常由它來(lái)評(píng)定。CVSS的最終評(píng)分由基礎(chǔ)指標(biāo)評(píng)分、時(shí)間指標(biāo)評(píng)分、環(huán)境指標(biāo)評(píng)分等多個(gè)維度指標(biāo)計(jì)算得出。其中時(shí)間指標(biāo)和環(huán)境指標(biāo)是可選的,在多數(shù)實(shí)踐場(chǎng)景常被忽略,只使用靜態(tài)的基礎(chǔ)評(píng)分,這意味著CVSS的最終評(píng)分與安全漏洞的實(shí)際表現(xiàn)可能存在差距。

為了更精確地描述漏洞嚴(yán)重等級(jí),SEAL 在 v0.3 中引入SSVC漏洞評(píng)估模型,即特定利益相關(guān)者漏洞分類。SSVC 基于決策樹模型的模塊化決策系統(tǒng),避免“一刀切”的解決方案,為供應(yīng)鏈上不同角色的漏洞管理相關(guān)方提供處理漏洞優(yōu)先級(jí)的決策結(jié)果。具體來(lái)說(shuō),SEAL 0.3 可以根據(jù)SSVC漏洞評(píng)估模型基于CVSS評(píng)分、漏洞可利用性的EPSS指標(biāo)、環(huán)境因素、資產(chǎn)重要性等因子對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序,幫助用戶將有限的資源投入到更關(guān)鍵的漏洞修復(fù)上。

因時(shí)制宜處理安全問(wèn)題

在不同的用戶場(chǎng)景中,針對(duì)掃描出來(lái)的安全問(wèn)題需要做不同處理。SEAL 0.3中:

支持針對(duì)單個(gè)安全問(wèn)題提交Jira事務(wù)

支持有時(shí)限或永久忽略安全問(wèn)題。例如在修復(fù)不可用或經(jīng)評(píng)估某安全漏洞沒(méi)有實(shí)際影響的場(chǎng)景

共建軟件供應(yīng)鏈安全新生態(tài)

據(jù)第三方權(quán)威調(diào)研機(jī)構(gòu) Gartner 預(yù)測(cè),到2025年全球?qū)⒂?5%的企業(yè)遭遇軟件供應(yīng)鏈攻擊。相比傳統(tǒng)安全問(wèn)題,軟件供應(yīng)鏈安全問(wèn)題隱蔽性更高、擴(kuò)散速度更快、影響范圍更大、破壞力更強(qiáng),傳統(tǒng)安全工具難以應(yīng)付全鏈路、多階段的安全問(wèn)題,因此軟件供應(yīng)鏈安全管理平臺(tái) SEAL 0.3 是具有里程碑意義的版本更新,這一版本的發(fā)布意味著 SEAL 從安全產(chǎn)品到安全管理平臺(tái)的轉(zhuǎn)變,并在國(guó)內(nèi)首創(chuàng)性地提出了以全鏈路視角保護(hù)軟件供應(yīng)鏈的產(chǎn)品理念。

“軟件供應(yīng)鏈安全管理平臺(tái) SEAL 內(nèi)嵌靈活可插拔的掃描引擎SCE,可以接入多種第三方工具,如SAST、SCA等協(xié)同工作,也支持第三方生成的 SBOM 文件的導(dǎo)入。從架構(gòu)設(shè)計(jì)上為上下游合作伙伴與 SEAL 的協(xié)同分工合作提供了基礎(chǔ),” 數(shù)澈軟件聯(lián)合創(chuàng)始人及CEO秦小康說(shuō),“與合作伙伴及客戶的共贏是 SEAL 團(tuán)隊(duì)的基因,SEAL 希望與合作伙伴一起為企業(yè)和組織提供全鏈路的軟件供應(yīng)鏈安全保障?!?/p>

(本內(nèi)容屬于網(wǎng)絡(luò)轉(zhuǎn)載,文中涉及圖片等內(nèi)容如有侵權(quán),請(qǐng)聯(lián)系編輯刪除。市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買賣及投資依據(jù)。)

原創(chuàng)文章,作者:陳晨,如若轉(zhuǎn)載,請(qǐng)注明出處:http://m.2079x.cn/article/565372.html

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦