SEAL 0.3 正式发布:国内首个全链路软件供应链安全管理平台
12月1日,软件供应链安全管理平台 SEAL 0.3 正式发布(以下简称“SEAL”),这是国内首个以全链路视角保护软件供应链的安全管理平台。 两个月前 SEAL 0.2 发布,该版本创新性地提供了依赖项的全局汇总与关联,用户可以获得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。基于0.2版本的技术实践以及企业客户的反馈,在最新版本中,SEAL 为软件开发生命周期(SDLC)的各阶段都提供了安全扫描,包括代码仓库扫描、CI/CD构建流水线扫描、镜像构建物扫描、Kubernetes运行时扫描,同时提供自定义安全策略、漏洞优先级排序等特性帮助开发和安全团队有的放矢地解决安全问题。 将安全扫描扩展至全链路 在软件供应链全链路的各个环节中(如开发、构建、运行),都有可能引入新的第三方依赖。根据 Sonatype 发布的《2021 年软件供应链现状报告》,为了加快软件上市时间,去年全球开发人员从第三方生态系统调用了超过 2.2 万亿个开源软件包或组件。而在过去三年的时间里,针对上游开源代码存储库的恶意攻击的数量增加了742%。 因此,将安全扫描能力覆盖到整个软件供应链可以有效管控整体安全风险,并且用户可以获取更清晰、直观的全局视图。 保障云原生安全:支持容器镜像、K8S集群安全扫描 通过 SEAL 0.3,用户可以获得完整的从代码仓库到运行环境全软件供应链各环节扫描检测能力,包括: 支持集成任意符合OCI标准的镜像仓库,并对其中的容器镜像进行安全扫描 支持集成任意 Kubernetes 集群,扫描其中的工作负载配置及镜像 第三方软件物料清单文件的扫描。例如,对第三方供应商提供的软件包生成SBOM并上传进行扫描。 实现DevSecOps:将安全融入CI/CD流水线 随着 DevOps 理念的推广,现代软件的构建发布变得更加敏捷和自动化。企业内部通常建设了成熟的 CI/CD 流水线以进行软件的构建发布,但近年来 CI/CD 流水线已成为软件供应链最危险的攻击面。因此,诸多企业用户希望将安全环节引入流水线中,以及早发现安全问题,降低修复成本,实现 DevSecOps。自 SEAL 0.3开始,用户可以在任意CI/CD流水线中集成SEAL的安全扫描功能,为软件构建发布提供安全屏障。 全链路安全洞察 软件供应链囊括了软件开发到部署的各个环节,成千上万的依赖项被引入其中,因此想要手动掌握全链路的安全洞察极具挑战。SEAL 0.3 能够聚合管理全链路各个阶段的资源,为用户提供直观、简洁的全局视图,以帮助用户充分了解整个软件供应链上存在的安全风险,并通过资源之间的关联关系提供更合理的安全问题报告和处理对策。 有的放矢,高效修复安全问题 企业常常面临供应链存在许多漏洞的情况,此时要求研发及安全团队将其全部修复则有些不切实际,因为团队人手有限而且并非所有安全漏洞都存在致命风险或被利用的可能。此外,根据不同的业务场景以及企业内部的具体情况,针对安全问题的修复策略也有所不同。为了帮助开发和安全团队高效解决安全问题,SEAL 提供了以下特性: 自动生成多策略修复建议 漏洞优先级排序 因时制宜处理安全问题 自动生成多策略修复建议 从 0.2 版本开始,SEAL 启用自研的聚合漏洞数据库,该数据库基于上游 GitHub、GitLab、OSV 、NVD及Ubuntu,Alpine 等漏洞数据库进行数据聚合、清洗及处理,并优化漏洞匹配规则。基于该数据库,SEAL 扫描出供应链中所包含的安全漏洞,并基于不同策略提供修复建议。 具体而言,SEAL 0.3 中有两种安全策略——【安全优先】和【兼容优先】,前者将推荐用户升级到漏洞最少的新版本,后者将为用户评估升级版本的兼容性。此外,修复建议还包括: 提供直接依赖和间接依赖的组件修复建议 提供修复前后的漏洞对比和安全风险信息汇总 漏洞优先级排序 通用漏洞评分系统 (CVSS) 是一个公共框架,安全漏洞等级通常由它来评定。CVSS的最终评分由基础指标评分、时间指标评分、环境指标评分等多个维度指标计算得出。其中时间指标和环境指标是可选的,在多数实践场景常被忽略,只使用静态的基础评分,这意味着CVSS的最终评分与安全漏洞的实际表现可能存在差距。 为了更精确地描述漏洞严重等级,SEAL 在 v0.3 中引入SSVC漏洞评估模型,即特定利益相关者漏洞分类。SSVC 基于决策树模型的模块化决策系统,避免“一刀切”的解决方案,为供应链上不同角色的漏洞管理相关方提供处理漏洞优先级的决策结果。具体来说,SEAL 0.3 可以根据SSVC漏洞评估模型基于CVSS评分、漏洞可利用性的EPSS指标、环境因素、资产重要性等因子对漏洞进行优先级排序,帮助用户将有限的资源投入到更关键的漏洞修复上。 因时制宜处理安全问题 在不同的用户场景中,针对扫描出来的安全问题需要做不同处理。SEAL 0.3中: 支持针对单个安全问题提交Jira事务 支持有时限或永久忽略安全问题。例如在修复不可用或经评估某安全漏洞没有实际影响的场景 共建软件供应链安全新生态 据第三方权威调研机构 Gartner 预测,到2025年全球将有45%的企业遭遇软件供应链攻击。相比传统安全问题,软件供应链安全问题隐蔽性更高、扩散速度更快、影响范围更大、破坏力更强,传统安全工具难以应付全链路、多阶段的安全问题,因此软件供应链安全管理平台 SEAL 0.3 是具有里程碑意义的版本更新,这一版本的发布意味着 SEAL 从安全产品到安全管理平台的转变,并在国内首创性地提出了以全链路视角保护软件供应链的产品理念。 “软件供应链安全管理平台 SEAL 内嵌灵活可插拔的扫描引擎SCE,可以接入多种第三方工具,如SAST、SCA等协同工作,也支持第三方生成的 SBOM 文件的导入。从架构设计上为上下游合作伙伴与 SEAL 的协同分工合作提供了基础,” 数澈软件联合创始人及CEO秦小康说,“与合作伙伴及客户的共赢是 SEAL 团队的基因,SEAL 希望与合作伙伴一起为企业和组织提供全链路的软件供应链安全保障。” |