今天，我們很高興宣布 Seal 0.4 已正式發(fā)布！在上一個(gè)版本中，Seal 完成了從單一產(chǎn)品到全鏈路平臺(tái)的轉(zhuǎn)變，通過(guò)全局視圖幫助用戶掌握軟件開(kāi)發(fā)生命周期各個(gè)環(huán)節(jié)的安全狀況。
?

在 Seal 0.4 中，全局視圖將再一步升級(jí)，軟件供應(yīng)鏈全鏈路的安全洞察得到進(jìn)一步增強(qiáng)，新版本為用戶提供了軟件供應(yīng)鏈知識(shí)圖、更細(xì)粒度的指標(biāo)可視化以及更靈活可控的掃描配置等特性，幫助開(kāi)發(fā)團(tuán)隊(duì)深入覺(jué)察供應(yīng)鏈組件之間的上下游關(guān)系，及時(shí)發(fā)現(xiàn)潛在安全問(wèn)題，進(jìn)而降低修復(fù)成本。
?

產(chǎn)品試用：https://seal.io/trial

產(chǎn)品文檔：https://seal-io.github.io/docs/
?

全面直觀的安全洞察

軟件開(kāi)發(fā)生命周期（SDLC）覆蓋了從開(kāi)發(fā)到部署、發(fā)布的各個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)都有可能引入新的依賴項(xiàng)，最終由成千上萬(wàn)個(gè)直接或間接依賴項(xiàng)構(gòu)成軟件供應(yīng)鏈。這意味著在很大程度上依賴項(xiàng)的健康會(huì)影響整個(gè)軟件供應(yīng)鏈的安全。
?

依賴項(xiàng)的健康程度涉及諸多影響因素：它的許可證是否合規(guī)？如果是開(kāi)源組件，它是否被良好維護(hù)？在代碼中是否存在漏洞？漏洞的嚴(yán)重程度如何？
?

一個(gè)存在安全問(wèn)題的依賴項(xiàng)同時(shí)也對(duì)上下游組件產(chǎn)生影響，Endor Labs 在2022年發(fā)布的《依賴項(xiàng)管理狀態(tài)報(bào)告》中指出，95%的易受攻擊的依賴項(xiàng)都是可傳遞的。?而在數(shù)量龐大的依賴項(xiàng)中通過(guò)手動(dòng)的方式查找它們相互之間的傳遞關(guān)系無(wú)異于大海撈針。
?

因此，了解依賴項(xiàng)之間的關(guān)聯(lián)關(guān)系以及監(jiān)控軟件供應(yīng)鏈核心的安全指標(biāo)對(duì)于保障軟件供應(yīng)鏈安全至關(guān)重要。
?

軟件供應(yīng)鏈知識(shí)圖

在 Seal 0.4 中新增了軟件供應(yīng)鏈知識(shí)圖，直觀地展示供應(yīng)鏈中的組件類型以及它們的關(guān)聯(lián)關(guān)系。此外，用戶可以設(shè)置多種檢索條件充分掌握軟件資產(chǎn)安全合規(guī)情況。

例如，當(dāng)用戶了解到某個(gè)漏洞嚴(yán)重等級(jí)評(píng)分較高，想要查詢?cè)撀┒词欠翊嬖谟谲浖?yīng)鏈中以及會(huì)影響到的所有軟件資產(chǎn)，那么可以通過(guò)設(shè)置條件進(jìn)行檢索：

另外，如果企業(yè)發(fā)現(xiàn)某個(gè)許可證不合規(guī)，也可以通過(guò)知識(shí)圖查找和某個(gè)許可證相關(guān)的所有軟件資產(chǎn)：

更細(xì)粒度的指標(biāo)可視化

因?yàn)檐浖?yīng)鏈牽涉到整個(gè)軟件開(kāi)發(fā)生命周期的各個(gè)環(huán)節(jié)以及各種類型的安全問(wèn)題，比如許可證合規(guī)、組件漏洞、配置錯(cuò)誤、密鑰泄露風(fēng)險(xiǎn)等，因此軟件供應(yīng)鏈安全問(wèn)題始終是繁瑣且復(fù)雜的。?因此，要準(zhǔn)確掌握軟件供應(yīng)鏈全鏈路的安全狀況就需要設(shè)置合理的且足夠細(xì)粒度的指標(biāo)進(jìn)行監(jiān)控。
?

在 Seal 0.4 中，全局視圖將全面升級(jí)，用戶可以在概覽中查看更豐富的統(tǒng)計(jì)信息和指標(biāo)數(shù)據(jù)，比如問(wèn)題嚴(yán)重性分布、許可證依賴分布、問(wèn)題趨勢(shì)等。

?

除概覽頁(yè)外，用戶可以在資源、應(yīng)用詳情頁(yè)查看趨勢(shì)圖表及其他安全問(wèn)題指標(biāo)，幫助開(kāi)發(fā)團(tuán)隊(duì)評(píng)估各自項(xiàng)目中的安全缺陷和修復(fù)情況。

靈活可控的掃描配置

Seal 0.3 將安全掃描擴(kuò)展到了全鏈路，用戶可以獲得完整的從代碼倉(cāng)庫(kù)到運(yùn)行環(huán)境全軟件供應(yīng)鏈各環(huán)節(jié)掃描檢測(cè)能力。Seal 0.4 將提供更靈活的掃描配置，讓開(kāi)發(fā)團(tuán)隊(duì)可以根據(jù)自身需求設(shè)置掃描頻率、觸發(fā)規(guī)則等，主要包括：

• 支持自定義源代碼倉(cāng)庫(kù)掃描的Webhook觸發(fā)規(guī)則

• 支持自定義資源定期掃描的規(guī)則

• 支持自定義依賴組件修復(fù)建議的生成配置
  ?

構(gòu)建開(kāi)發(fā)者友好的全鏈路管理平臺(tái)

為了響應(yīng)不斷變化的市場(chǎng)需求，企業(yè)需要快速迭代產(chǎn)品以搶先獲得市場(chǎng)先機(jī)，進(jìn)而獲取巨大的商業(yè)價(jià)值。要保證產(chǎn)品快速迭代并安全發(fā)布，“左移”已經(jīng)成為業(yè)界共識(shí)，即將測(cè)試、安全、FinOps等環(huán)節(jié)融入軟件開(kāi)發(fā)流程中，加強(qiáng)各部門之間的協(xié)作。
?

當(dāng)開(kāi)發(fā)團(tuán)隊(duì)也需要和安全團(tuán)隊(duì)共同承擔(dān)安全責(zé)任時(shí)，減輕開(kāi)發(fā)團(tuán)隊(duì)的認(rèn)知負(fù)擔(dān)、平滑學(xué)習(xí)曲線、降低學(xué)習(xí)成本變得尤為重要。Seal 致力于構(gòu)建開(kāi)發(fā)者友好的全鏈路管理平臺(tái)，通過(guò)直觀、詳細(xì)的可視化視圖為開(kāi)發(fā)人員提供清晰地問(wèn)題修復(fù)路徑，降低安全問(wèn)題修復(fù)的成本。?在未來(lái)，Seal 將會(huì)針對(duì)開(kāi)發(fā)人員的軟件開(kāi)發(fā)流程體驗(yàn)持續(xù)優(yōu)化，請(qǐng)保持關(guān)注哦！
?

如果您對(duì) Seal 0.4 感興趣，歡迎訪問(wèn)試用鏈接免費(fèi)體驗(yàn)嘗鮮：seal.io/trial