产品试用(试用有礼,划至文末查看规则):https://seal.io/trial 产品文档:https://seal-io.github.io/docs/
将安全扫描扩展至全链路
因此,将安全扫描能力覆盖到整个软件供应链可以有效管控整体安全风险,并且用户可以获取更清晰、直观的全局视图。
保障云原生安全:支持容器镜像、K8S集群安全扫描
通过 SEAL 0.3,用户可以获得完整的从代码仓库到运行环境全软件供应链各环节扫描检测能力,包括:
-
支持集成任意符合OCI标准的镜像仓库,并对其中的容器镜像进行安全扫描 -
支持集成任意 Kubernetes 集群,扫描其中的工作负载配置及镜像 -
第三方软件物料清单文件的扫描。例如,对第三方供应商提供的软件包生成 SBOM 并上传进行扫描。
配置镜像仓库
实现 DevSecOps:将安全融入 CI/CD 流水线
随着 DevOps 理念的推广,现代软件的构建发布变得更加敏捷和自动化。企业内部通常建设了成熟的 CI/CD 流水线以进行软件的构建发布,但近年来 CI/CD 流水线已成为软件供应链最危险的攻击面。因此,诸多企业用户希望将安全环节引入流水线中,以及早发现安全问题,降低修复成本,实现 DevSecOps。自 SEAL 0.3开始,用户可以在任意 CI/CD 流水线中集成SEAL的安全扫描功能,为软件构建发布提供安全屏障。
全链路安全洞察
软件供应链囊括了软件开发到部署的各个环节,成千上万的依赖项被引入其中,因此想要手动掌握全链路的安全洞察极具挑战。SEAL 0.3 能够聚合管理全链路各个阶段的资源,为用户提供直观、简洁的全局视图,以帮助用户充分了解整个软件供应链上存在的安全风险,并通过资源之间的关联关系提供更合理的安全问题报告和处理对策。
有的放矢,高效修复安全问题
- 自动生成多策略修复建议
- 漏洞优先级排序
- 因时制宜处理安全问题
自动生成多策略修复建议
-
提供直接依赖和间接依赖的组件修复建议 -
提供修复前后的漏洞对比和安全风险信息汇总
漏洞优先级排序
通用漏洞评分系统 (CVSS) 是一个公共框架 ,安全漏洞等级通常由它来评定。CVSS的最终评分由基础指标评分、时间指标评分、环境指标评分等多个维度指标计算得出。其中时间指标和环境指标是可选的,在多数实践场景常被忽略,只使用静态的基础评分,这意味着 CVSS 的最终评分与安全漏洞的实际表现可能存在差距。
为了更精确地描述漏洞严重等级,SEAL 在 v0.3 中引入SSVC漏洞评估模型,即特定利益相关者漏洞分类。SSVC 基于决策树模型的模块化决策系统,避免“一刀切”的解决方案,为供应链上不同角色的漏洞管理相关方提供处理漏洞优先级的决策结果。具体来说,SEAL 0.3 可以根据SSVC漏洞评估模型基于 CVSS 评分、漏洞可利用性的EPSS指标、环境因素、资产重要性等因子对漏洞进行优先级排序,帮助用户将有限的资源投入到更关键的漏洞修复上。
因时制宜处理安全问题
-
支持针对单个安全问题提交Jira事务 -
支持有时限或永久忽略安全问题。例如在修复不可用或经评估某安全漏洞没有实际影响的场景
优化升级用户体验
- 支持服务端推送,实现更友好的用户交互。
- 优化安全问题的分类展示。
共建软件供应链安全新生态
据第三方权威调研机构 Gartner 预测,到2025年全球将有45%的企业遭遇软件供应链攻击。相比传统安全问题,软件供应链安全问题隐蔽性更高、扩散速度更快、影响范围更大、破坏力更强,传统安全工具难以应付全链路、多阶段的安全问题,因此软件供应链安全管理平台 SEAL 0.3 是具有里程碑意义的版本更新,这一版本的发布意味着 SEAL 从安全产品到安全管理平台的转变,并在国内首创性地提出了以全链路视角保护软件供应链的产品理念。
欢迎下载使用
https://www.bilibili.com/video/BV17D4y1s7SV/?spm_id_from=333.337.search-card.all.click
从文章发布之时到2022年12月8日 20:00期间申请试用的小伙伴,按照时间先后顺序逢6(即6、16、26…)即可获赠 SEAL 定制双肩包1只(如重复申请,以首次申请时间为准)。
