SEAL 03 正式发布:国内首个全链路软件供应链安全管理平台
SEAL 03 正式发布:国内首个全链路软件供应链安全管理平台
SEAL 03 正式发布:国内首个全链路软件供应链安全管理平台,mp3排序软件,p图特效软件,电脑的办公软件12月1日,软件供应链安全管理平台 SEAL 0.3 正式发布(以下简称“SEAL”),这是国内首个以全链路视角保护软件供应链的安全管理平台。
两个月前 SEAL 0.2 发布,该版本创新性地提供了依赖项的全局汇总与关联,用户可以获得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。基于0.2版本的技术实践以及企业客户的反馈,在最新版本中,SEAL 为软件开发生命周期(SDLC)的各阶段都提供了安全扫描,包括代码仓库扫描、CI/CD构建流水线扫描、镜像构建物扫描、Kubernetes运行时扫描,同时提供自定义安全策略、漏洞优先级排序等特性帮助开发和安全团队有的放矢地解决安全问题。
在软件供应链全链路的各个环节中(如开发、构建、运行),都有可能引入新的第三方依赖。根据 Sonatype 发布的《2021 年软件供应链现状报告》,为了加快软件上市时间,去年全球开发人员从第三方生态系统调用了超过 2.2 万亿个开源软件包或组件。而在过去三年的时间里,针对上游开源代码存储库的恶意攻击的数量增加了742%。
因此,将安全扫描能力覆盖到整个软件供应链可以有效管控整体安全风险,并且用户可以获取更清晰、直观的全局视图。
通过 SEAL 0.3,用户可以获得完整的从代码仓库到运行环境全软件供应链各环节扫描检测能力,包括:
第三方软件物料清单文件的扫描。例如,对第三方供应商提供的软件包生成SBOM并上传进行扫描。
随着 DevOps 理念的推广,现代软件的构建发布变得更加敏捷和自动化。企业内部通常建设了成熟的 CI/CD 流水线以进行软件的构建发布,但近年来 CI/CD 流水线已成为软件供应链最危险的攻击面。因此,诸多企业用户希望将安全环节引入流水线中,以及早发现安全问题,降低修复成本,实现 DevSecOps。自 SEAL 0.3开始,用户可以在任意CI/CD流水线中集成SEAL的安全扫描功能,为软件构建发布提供安全屏障。
软件供应链囊括了软件开发到部署的各个环节,成千上万的依赖项被引入其中,因此想要手动掌握全链路的安全洞察极具挑战。SEAL 0.3 能够聚合管理全链路各个阶段的资源,为用户提供直观、简洁的全局视图,以帮助用户充分了解整个软件供应链上存在的安全风险,并通过资源之间的关联关系提供更合理的安全问题报告和处理对策。
企业常常面临供应链存在许多漏洞的情况,此时要求研发及安全团队将其全部修复则有些不切实际,因为团队人手有限而且并非所有安全漏洞都存在致命风险或被利用的可能。此外,根据不同的业务场景以及企业内部的具体情况,针对安全问题的修复策略也有所不同。为了帮助开发和安全团队高效解决安全问题,SEAL 提供了以下特性:
从 0.2 版本开始,SEAL 启用自研的聚合漏洞数据库,该数据库基于上游 GitHub、GitLab、OSV 、NVD及Ubuntu,Alpine 等漏洞数据库进行数据聚合、清洗及处理,并优化漏洞匹配规则。基于该数据库,SEAL 扫描出供应链中所包含的安全漏洞,并基于不同策略提供修复建议。
具体而言,SEAL 0.3 中有两种安全策略【安全优先】和【兼容优先】,前者将推荐用户升级到漏洞最少的新版本,后者将为用户评估升级版本的兼容性。此外,修复建议还包括:
通用漏洞评分系统 (CVSS) 是一个公共框架,安全漏洞等级通常由它来评定。CVSS的最终评分由基础指标评分、时间指标评分、环境指标评分等多个维度指标计算得出。其中时间指标和环境指标是可选的,在多数实践场景常被忽略,只使用静态的基础评分,这意味着CVSS的最终评分与安全漏洞的实际表现可能存在差距。
为了更精确地描述漏洞严重等级,SEAL 在 v0.3 中引入SSVC漏洞评估模型,即特定利益相关者漏洞分类。SSVC 基于决策树模型的模块化决策系统,避免“一刀切”的解决方案,为供应链上不同角色的漏洞管理相关方提供处理漏洞优先级的决策结果。具体来说,SEAL 0.3 可以根据SSVC漏洞评估模型基于CVSS评分、漏洞可利用性的EPSS指标、环境因素、资产重要性等因子对漏洞进行优先级排序,帮助用户将有限的资源投入到更关键的漏洞修复上。
在不同的用户场景中,针对扫描出来的安全问题需要做不同处理。SEAL 0.3中:
支持有时限或永久忽略安全问题。例如在修复不可用或经评估某安全漏洞没有实际影响的场景
据第三方权威调研机构 Gartner 预测,到2025年全球将有45%的企业遭遇软件供应链攻击。相比传统安全问题,软件供应链安全问题隐蔽性更高、扩散速度更快、影响范围更大、破坏力更强,传统安全工具难以应付全链路、多阶段的安全问题,因此软件供应链安全管理平台 SEAL 0.3 是具有里程碑意义的版本更新,这一版本的发布意味着 SEAL 从安全产品到安全管理平台的转变,并在国内首创性地提出了以全链路视角保护软件供应链的产品理念。
“软件供应链安全管理平台 SEAL 内嵌灵活可插拔的扫描引擎SCE,可以接入多种第三方工具,如SAST、SCA等协同工作,也支持第三方生成的 SBOM 文件的导入。从架构设计上为上下游合作伙伴与 SEAL 的协同分工合作提供了基础,” 数澈软件联合创始人及CEO秦小康说,“与合作伙伴及客户的共赢是 SEAL 团队的基因,SEAL 希望与合作伙伴一起为企业和组织提供全链路的软件供应链安全保障。”
【广告
相关文章
- Ai软件下载-最新Illustrator CS6-2022完整稳定版 附保姆式安装教程
- 19款主流杀软实战勒索病毒:卡巴、比特梵德超一流
- 不惧恢复出厂设置QQ同步助手一键还原通讯录
- 天猫魔盒7A看电影收费怎么办?免费看电影的软件推荐
- 【新手疑难】学Final Cut Pro 还是Premiere ?
- 通明智云“亮相”2022年信息技术自主创新高峰论坛发布基于龙芯3C5000应用交付网关
- 2022-2028全球与中国实时公交查询软件市场现状及未来发展趋势
- R 语言和RStudio软件下载和安装教程
- PDF文件怎么编辑专业的pdf软件推荐简单上手学习必备
- 限时下载手慢无安卓+苹果都有
- Adobe Media EncoderCCME2020中文版me2020软件下载
- 出租自己app有哪些?几款出租自己软件推荐
- pdf怎么转换成word免费软件?这三种方法新手小白必看
- 双软认证流程随身翻译软件
- 5000万美元被上市公司收购这款App教你边滑手指边记单词
- m1 Mac必备软件让系统更好用
- 15岁开发黑客工具24岁被捕软件卖给上万人获利30万美元大部分用于买外卖
- 书木云拆单软件教学课程] 隐藏区域
- 热门虚拟光驱工具DAEMON Tools4302
- 用抢票软件提前抢节日车票?有人“抢”到票时火车已经开走