SEAL 0.3 正式發(fā)布：國內(nèi)首個全鏈路軟件供應(yīng)鏈安全管理平臺

12月1日，軟件供應(yīng)鏈安全管理平臺 SEAL 0.3 正式發(fā)布(以下簡稱“SEAL”)，這是國內(nèi)首個以全鏈路視角保護軟件供應(yīng)鏈的安全管理平臺。

兩個月前 SEAL 0.2 發(fā)布，該版本創(chuàng)新性地提供了依賴項的全局匯總與關(guān)聯(lián)，用戶可以獲得軟件開發(fā)生命周期各個環(huán)節(jié)的可見性，進而以全局視角管理軟件供應(yīng)鏈。基于0.2版本的技術(shù)實踐以及企業(yè)客戶的反饋，在最新版本中，SEAL 為軟件開發(fā)生命周期(SDLC)的各階段都提供了安全掃描，包括代碼倉庫掃描、CI/CD構(gòu)建流水線掃描、鏡像構(gòu)建物掃描、Kubernetes運行時掃描，同時提供自定義安全策略、漏洞優(yōu)先級排序等特性幫助開發(fā)和安全團隊有的放矢地解決安全問題。

將安全掃描擴展至全鏈路

在軟件供應(yīng)鏈全鏈路的各個環(huán)節(jié)中(如開發(fā)、構(gòu)建、運行)，都有可能引入新的第三方依賴。根據(jù) Sonatype 發(fā)布的《2021 年軟件供應(yīng)鏈現(xiàn)狀報告》，為了加快軟件上市時間，去年全球開發(fā)人員從第三方生態(tài)系統(tǒng)調(diào)用了超過 2.2 萬億個開源軟件包或組件。而在過去三年的時間里，針對上游開源代碼存儲庫的惡意攻擊的數(shù)量增加了742%。

因此，將安全掃描能力覆蓋到整個軟件供應(yīng)鏈可以有效管控整體安全風(fēng)險，并且用戶可以獲取更清晰、直觀的全局視圖。

保障云原生安全：支持容器鏡像、K8S集群安全掃描

通過 SEAL 0.3，用戶可以獲得完整的從代碼倉庫到運行環(huán)境全軟件供應(yīng)鏈各環(huán)節(jié)掃描檢測能力，包括：

支持集成任意符合OCI標準的鏡像倉庫，并對其中的容器鏡像進行安全掃描

支持集成任意 Kubernetes 集群，掃描其中的工作負載配置及鏡像

第三方軟件物料清單文件的掃描。例如，對第三方供應(yīng)商提供的軟件包生成SBOM并上傳進行掃描。

實現(xiàn)DevSecOps：將安全融入CI/CD流水線

隨著 DevOps 理念的推廣，現(xiàn)代軟件的構(gòu)建發(fā)布變得更加敏捷和自動化。企業(yè)內(nèi)部通常建設(shè)了成熟的 CI/CD 流水線以進行軟件的構(gòu)建發(fā)布，但近年來 CI/CD 流水線已成為軟件供應(yīng)鏈最危險的攻擊面。因此，諸多企業(yè)用戶希望將安全環(huán)節(jié)引入流水線中，以及早發(fā)現(xiàn)安全問題，降低修復(fù)成本，實現(xiàn) DevSecOps。自 SEAL 0.3開始，用戶可以在任意CI/CD流水線中集成SEAL的安全掃描功能，為軟件構(gòu)建發(fā)布提供安全屏障。

全鏈路安全洞察

軟件供應(yīng)鏈囊括了軟件開發(fā)到部署的各個環(huán)節(jié)，成千上萬的依賴項被引入其中，因此想要手動掌握全鏈路的安全洞察極具挑戰(zhàn)。SEAL 0.3 能夠聚合管理全鏈路各個階段的資源，為用戶提供直觀、簡潔的全局視圖，以幫助用戶充分了解整個軟件供應(yīng)鏈上存在的安全風(fēng)險，并通過資源之間的關(guān)聯(lián)關(guān)系提供更合理的安全問題報告和處理對策。

有的放矢，高效修復(fù)安全問題

企業(yè)常常面臨供應(yīng)鏈存在許多漏洞的情況，此時要求研發(fā)及安全團隊將其全部修復(fù)則有些不切實際，因為團隊人手有限而且并非所有安全漏洞都存在致命風(fēng)險或被利用的可能。此外，根據(jù)不同的業(yè)務(wù)場景以及企業(yè)內(nèi)部的具體情況，針對安全問題的修復(fù)策略也有所不同。為了幫助開發(fā)和安全團隊高效解決安全問題，SEAL 提供了以下特性：

自動生成多策略修復(fù)建議

漏洞優(yōu)先級排序

因時制宜處理安全問題

自動生成多策略修復(fù)建議

從 0.2 版本開始，SEAL 啟用自研的聚合漏洞數(shù)據(jù)庫，該數(shù)據(jù)庫基于上游 GitHub、GitLab、OSV 、NVD及Ubuntu，Alpine 等漏洞數(shù)據(jù)庫進行數(shù)據(jù)聚合、清洗及處理，并優(yōu)化漏洞匹配規(guī)則。基于該數(shù)據(jù)庫，SEAL 掃描出供應(yīng)鏈中所包含的安全漏洞，并基于不同策略提供修復(fù)建議。

具體而言，SEAL 0.3 中有兩種安全策略——【安全優(yōu)先】和【兼容優(yōu)先】，前者將推薦用戶升級到漏洞最少的新版本，后者將為用戶評估升級版本的兼容性。此外，修復(fù)建議還包括：

提供直接依賴和間接依賴的組件修復(fù)建議

提供修復(fù)前后的漏洞對比和安全風(fēng)險信息匯總

漏洞優(yōu)先級排序

通用漏洞評分系統(tǒng) (CVSS) 是一個公共框架，安全漏洞等級通常由它來評定。CVSS的最終評分由基礎(chǔ)指標評分、時間指標評分、環(huán)境指標評分等多個維度指標計算得出。其中時間指標和環(huán)境指標是可選的，在多數(shù)實踐場景常被忽略，只使用靜態(tài)的基礎(chǔ)評分，這意味著CVSS的最終評分與安全漏洞的實際表現(xiàn)可能存在差距。

為了更精確地描述漏洞嚴重等級，SEAL 在 v0.3 中引入SSVC漏洞評估模型，即特定利益相關(guān)者漏洞分類。SSVC 基于決策樹模型的模塊化決策系統(tǒng)，避免“一刀切”的解決方案，為供應(yīng)鏈上不同角色的漏洞管理相關(guān)方提供處理漏洞優(yōu)先級的決策結(jié)果。具體來說，SEAL 0.3 可以根據(jù)SSVC漏洞評估模型基于CVSS評分、漏洞可利用性的EPSS指標、環(huán)境因素、資產(chǎn)重要性等因子對漏洞進行優(yōu)先級排序，幫助用戶將有限的資源投入到更關(guān)鍵的漏洞修復(fù)上。

因時制宜處理安全問題

在不同的用戶場景中，針對掃描出來的安全問題需要做不同處理。SEAL 0.3中：

支持針對單個安全問題提交Jira事務(wù)

支持有時限或永久忽略安全問題。例如在修復(fù)不可用或經(jīng)評估某安全漏洞沒有實際影響的場景

共建軟件供應(yīng)鏈安全新生態(tài)

據(jù)第三方權(quán)威調(diào)研機構(gòu) Gartner 預(yù)測，到2025年全球?qū)⒂?5%的企業(yè)遭遇軟件供應(yīng)鏈攻擊。相比傳統(tǒng)安全問題，軟件供應(yīng)鏈安全問題隱蔽性更高、擴散速度更快、影響范圍更大、破壞力更強，傳統(tǒng)安全工具難以應(yīng)付全鏈路、多階段的安全問題，因此軟件供應(yīng)鏈安全管理平臺 SEAL 0.3 是具有里程碑意義的版本更新，這一版本的發(fā)布意味著 SEAL 從安全產(chǎn)品到安全管理平臺的轉(zhuǎn)變，并在國內(nèi)首創(chuàng)性地提出了以全鏈路視角保護軟件供應(yīng)鏈的產(chǎn)品理念。

“軟件供應(yīng)鏈安全管理平臺 SEAL 內(nèi)嵌靈活可插拔的掃描引擎SCE，可以接入多種第三方工具，如SAST、SCA等協(xié)同工作，也支持第三方生成的 SBOM 文件的導(dǎo)入。從架構(gòu)設(shè)計上為上下游合作伙伴與 SEAL 的協(xié)同分工合作提供了基礎(chǔ)，” 數(shù)澈軟件聯(lián)合創(chuàng)始人及CEO秦小康說，“與合作伙伴及客戶的共贏是 SEAL 團隊的基因，SEAL 希望與合作伙伴一起為企業(yè)和組織提供全鏈路的軟件供應(yīng)鏈安全保障?！?/p>