Seal 软件供应链防火墙 v0.2 已于近日发布。这款产品旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等4大防护,通过全链路扫描、问题关联及风险组织的方式保护企业软件供应链安全,降低企业安全漏洞修复成本。 通过 Seal 软件供应链防火墙,用户可以获得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。最新版本完善了 Seal 软件供应链防火墙的基础功能,包括依赖分析增强、IaC扫描、插件式可扩展架以及漏洞匹配规则优化等特性。

Seal 软件供应链防火墙架构图

产品文档地址:

https://seal-io.github.io/docs/

产品试用申请:

https://seal.io/trial

详细的软件物料分析

据研究显示,超过90%的企业已经在应用程序的开发过程中引入第三方开源组件。因此,软件物料清单(SBOM)是保障软件供应链安全的重要一环。在这一版本中,Seal 软件供应链防火墙针对 SBOM 进行了增强。

依赖分析增强

现代应用程序通常建立在数百个甚至数千个第三方组件之上,这些被称为依赖组件。Seal 软件供应链防火墙针对单个项目或全局为用户提供依赖组件的详细洞察,包括:

  • 支持查看和检索单个项目或全局的依赖组件

  • 支持查看依赖树和各组件的依赖路径

  • 提供依赖组件的发行信息、许可证、漏洞情况、安全评分等信息

  • 支持导出软件物料清单(SBOM)

基于自研漏洞库优化漏洞匹配规则

Seal 软件供应链防火墙 v0.2 开始启用 Seal 自研的聚合漏洞数据库,该数据库基于上游 GitHub、GitLab、OSV 等漏洞数据库进行数据聚合、清洗及处理,优化了漏洞匹配规则,并支持通过包名或者漏洞名称查询漏洞,从而了解漏洞所影响的版本范围及当前的修复状态。

后续 Seal 漏洞数据库将持续整合各类上游漏洞源并集成 Seal 安全团队的漏洞研究发现,提升用户漏洞检索体验。

灵活且强大的安全扫描

“安全左移”的理念早已成为业界共识,Seal 软件供应链防火墙基于“安全左移”的理念,在代码提交、依赖引入阶段开始进行安全扫描,确保企业用户能在开发早期发现漏洞以降低修复成本。

基础设施即代码(IaC)安全扫描

与传统的IT基础架构相比,基础设施即代码(IaC)可以更高效地交付软件,同时随着企业使用云的方式愈发复杂、云上基础设施的负荷不断增加,IaC的自动化配置对于众多企业来说具有强大的吸引力,但同时也存在一定的安全风险。Seal 软件供应链防火墙支持 IaC 安全扫描,可以检测包括 Dockerfile、Kubernetes 资源文件、Terraform 文件等基础设施代码中的安全问题,同时支持手动触发扫描和更灵活的定时扫描配置,并优化扫描速度。

开箱即用的第三方集成

灵活可扩展架构

随着软件供应链安全得到越来越多的组织重视,相关扫描工具愈发丰富和成熟。在这一版本中,Seal 软件供应链防火墙实现了可扩展架构,用户可以根据自身使用习惯插件式集成原生或第三方解决方案,灵活扩展扫描能力,打造开箱即用的便捷体验。

集成 Jira Cloud

Seal 软件供应链防火墙已经完成对 Jira Cloud 的集成,用户可以将发现的安全问题直接提交到 Jira 以便进行后续修复。

快速上手 Seal 软件供应链防火墙

本节将简单演示如何快速部署 Seal 软件供应链防火墙,并使用 Seal 软件供应链防火墙在源码仓库和构建物仓库拦截风险。

前期准备

  • 一台至少4CPU,8Gi内存的Linux服务器

  • 至少50GB的空余磁盘空间

  • 服务器拥有一个公网可访问的地址,例如一个云服务商分配的公有IP地址,或者ngrok分配的代理地址(ngrok.com/)

  • 本地机器安装maven

部署 Seal 软件供应链防火墙

1、在 Linux 服务器上安装 Docker,详细指引参考Docker官方文档(docs.docker.com)

2、前往官网申请产品试用镜像(seal.io/trial)

3、运行以下指令

sudo docker run -d --privileged --restart=always -p 80:80 -p 443:443 -p 10000:10000 <seal-container-image>

通过https://<server-address>访问 Seal 的 UI。第一次登陆时根据UI提示,在服务器上运行以下指令获取初始的管理员密码:

sudo docker logs <your-container-id> 2>&1 | grep "Bootstrap Admin Password"

admin用户名以及初始管理员密码登陆Seal。根据UI提示设置新的密码以及Seal的访问地址。

使用 Seal 管理 Github 代码仓库

  1. 访问 Github fork 示例项目(https://github.com/seal-io/simple-java-maven-app ),取消勾选Copy the main branch only

  2. 在 Seal UI 点击【集成】菜单,点击 Github 图标。

  3. 根据UI说明创建 Github 应用,并将 Client ID 和 Client Secret 填入表单。

  4. 点击【连接Github】按钮,在弹窗中点击授权。

  5. 在源码仓库列表中搜索并勾选simple-java-maven-app,点击导入仓库。

  6. 在你的项目分叉中创建新的 Pull request,设置PR基准为 fork 的 main 分支,请求合并的变更为 fork 的 test 分支。

  7. 点击创建 Pull request。

  8. 确认 Seal 的检查作用于该 Pull request。

使用 Seal 拦截风险软件包的下载

1、点击 Seal UI 导航栏中的【集成】菜单,点击 Maven 构件代理的图标。

2、代理名称输入central,上游地址输入https://repo.maven.apache.org/maven2/ ,点击【保存】按钮。

3、记录列表中显示的代理地址。

4、运行以下指令克隆示例项目代码

git clone https://github.com/seal-io/simple-java-maven-app

5、将以下文件内容写入~/.m2/settings.xml文件,其中将镜像url更换为上述Maven构件代理地址。

<settings>
<mirrors>
<mirror>
<id>other-mirror</id>
<name>Other Mirror Repository</name>
<url>http://your-proxy-address:10000</url>
<mirrorOf>central</mirrorOf>
</mirror>
</mirrors>
</settings>

6、在示例项目中运行mvn package,确认带高危漏洞的软件包依赖被拦截。

欢迎试用体验

如果您希望进一步了解 Seal 软件供应链防火墙 v0.2 的新特性,请访问:

产品试用申请:

https://seal.io/trial

产品文档:

https://seal-io.github.io/docs/

视频Demo:

https://www.bilibili.com/video/BV1b14y1e7Qu

About Seal

数澈软件Seal 成立于2022年,旨在构建新一代软件供应链安全解决方案,目前已完成数千万元种子轮融资。创始团队成员均来自业界应用最为广泛的Kubernetes管理平台Rancher的核心团队。其中,联合创始人及CTO梁胜博士是前SUSE全球工程及创新总裁,加入SUSE之前,梁胜博士于2014年9月创立全球著名的容器管理平台公司Rancher Labs并担任CEO。

旗舰产品Seal软件供应链防火墙旨在为企业提供代码安全、构建安全、依赖项安全及运行环境安全等4大防护,通过全链路扫描、问题关联及风险组织的方式保障企业软件供应链安全,确保在漏洞初期以低成本完成修复工作,保障企业IT安全无虞。

Seal 软件供应链防火墙 v0.2 发布,提供依赖项全局洞察的更多相关文章

  1. SLSA 框架与软件供应链安全防护

    随着软件供应链攻击浪潮愈演愈烈,Google 发布了一系列指南来确保软件包的完整性,旨在防止影响软件供应链的未经授权的代码修改.新的 Google SLSA 框架(Supply-chain Level ...

  2. Seal 0.4 发布:软件供应链安全洞察更上一层楼!

    今天,我们很高兴宣布 Seal 0.4 已正式发布!在上一个版本中,Seal 完成了从单一产品到全链路平台的转变,通过全局视图帮助用户掌握软件开发生命周期各个环节的安全状况. 在 Seal 0.4 中 ...

  3. CNCF社区首个!KubeEdge达到软件供应链SLSA L3等级

    摘要:在v1.13.0版本中,KubeEdge项目已达到 SLSAL3等级(包括二进制和容器镜像构件),成为CNCF社区首个达到SLSA L3等级的项目. 本文分享自华为云社区<CNCF社区首个 ...

  4. 基于 Docker 的现代软件供应链

    [编者按]本文作者为 Marc Holmes,主要介绍一项关于现代软件供应链的调查结果.本文系国内 ITOM 管理平台 OneAPM 编译呈现,以下为正文. 3 月初,为了了解软件供应链的现状以及 D ...

  5. Kubernetes 时代的安全软件供应链

    点击下载<不一样的 双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者 汤志敏  阿里云 ...

  6. OpenSSF安全计划:SBOM将驱动软件供应链安全

    在 软件成分分析(SCA)一文中,我们简单提到软件物料清单(SBOM)在安全实践中的价值. 本期文章将带你深入了解 "SBOM 无处不在"计划是什么,以及 SBOM 对未来软件供应 ...

  7. CSO视角:Sigstore如何保障软件供应链安全?

    本文作者 Chris Hughes,Aquia的联合创始人及CISO,拥有近20年的网络安全经验. SolarWinds 和 Log4j 等影响广泛的软件供应链攻击事件引起了业界对软件供应链安全的关注 ...

  8. React Native v0.4 发布,用 React 编写移动应用

    React Native v0.4 发布,自从 React Native 开源以来,包括超过 12.5k stars,1000 commits,500 issues,380 pull requests ...

  9. Bilibili手机端下载的Download文件批量转换为MP4软件【Bilibili_DownVideoToMp4】原创发布

    Bilibili手机端下载的Download文件批量转换为MP4软件[Bilibili_DownVideoToMp4]原创发布 起因 Bilibili手机端的视频下载下来只能在手机上看,手机屏幕太小看 ...

  10. Kali Linux 2016.2发布提供虚拟机以及系统镜像下载

    Kali Linux 2016.2发布提供虚拟机以及系统镜像下载   Kali Linux 2016.2发布提供虚拟机以及系统镜像下载,本次Kali Linux 2016.2提供了五种桌面模式,分别为 ...

随机推荐

  1. mysql 实用语句

    -- 查询内存大小 SELECT TABLE_NAME, concat( TRUNCATE (data_length / 1024 / 1024, 2), ' MB' ) AS data_size, ...

  2. shell解析xml文档

    需要解析的源文件: /tmp/cameralist : <?xml version="1.0" encoding="UTF-8"?><came ...

  3. Verilog HDL数据流建模与运算符

    数据流建模使用的连续赋值语句由关键词assign开始,一般用法如下: wire [位宽说明]变量名1, 变量名2, ..., 变量名n; assign 变量名 = 表达式; 只要等号右边的值发生变化, ...

  4. 旺店通·企业奇门和用友BIP接口打通对接实战

    旺店通·企业奇门和用友BIP接口打通对接实战 接通系统:旺店通·企业奇门 旺店通是北京掌上先机网络科技有限公司旗下品牌,国内的零售云服务提供商,基于云计算SaaS服务模式,以体系化解决方案,助力零售企 ...

  5. java String字符串总结

    这里我们将总结字符串相关的知识,除了总结String的API用法,同时我们还会总结一些相关的知识点,包括字符串常量池.StringBuffer.StringBuilder,以及equals和==的用法 ...

  6. VideoPipe可视化视频结构化框架更新总结(2023-12-5)

    项目地址:https://github.com/sherlockchou86/video_pipe_c 往期文章:https://www.cnblogs.com/xiaozhi_5638/p/1696 ...

  7. # [AI]多模态聚类能力助力AI完成自主意识测试

    引言 探讨人工智能是否能形成自我意识,是一个当前AI领域一个重要而又复杂的问题.随着深度学习和强化学习技术的不断进步,计算机在视觉识别.语音识别和控制机器人等方面都已取得长足的进展,模拟和超越人类的一 ...

  8. 整合SpringBoot + Dubbo + Nacos 出现 Unable to make protected final java.lang.Class java.lang.ClassLoader.defineClass

    版本 SpringBoot:2.7.3 Dubbo:3.0.4 Nacos:2.0.3 异常信息如下 Unable to make protected final java.lang.Class ja ...

  9. 后端程序员必会的前端知识-02:JavaScript

    第二章. Javascript 它是一种脚本语言,可以用来更改页面内容,控制多媒体,制作图像.动画等等 例子 修改页面内容 js 代码位置 <script> // js 代码 </s ...

  10. 安装了华企盾DSC防泄密,所有进程的加密文件都无法打开

    用pchunter等工具查看系统回调中是否有文件厂商不存在的(system目录的除外),在恢复模式删除掉,或者用360系统急救箱查杀一下