共计 1607 个字符,预计需要花费 5 分钟才能阅读完成。
明天,咱们很快乐发表 Seal 0.4 已正式公布!在上一个版本中,Seal 实现了从繁多产品到全链路平台的转变,通过全局视图帮忙用户把握软件开发生命周期各个环节的平安情况。
在 Seal 0.4 中,全局视图将再一步降级,软件供应链全链路的平安洞察失去进一步加强,新版本为用户提供了软件供应链常识图、更细粒度的指标可视化以及更灵便可控的扫描配置等个性,帮忙开发团队深刻发觉供应链组件之间的上下游关系,及时发现潜在平安问题,进而升高修复老本。
产品试用:https://seal.io/trial
产品文档:https://seal-io.github.io/docs/
全面直观的平安洞察
软件开发生命周期(SDLC)笼罩了从开发到部署、公布的各个环节,每个环节都有可能引入新的依赖项,最终由成千上万个间接或间接依赖项形成软件供应链。这意味着 在很大水平上依赖项的衰弱会影响整个软件供应链的平安。
依赖项的衰弱水平波及诸多影响因素:它的许可证是否合规?如果是开源组件,它是否被良好保护?在代码中是否存在破绽?破绽的重大水平如何?
一个存在平安问题的依赖项同时也对上下游组件产生影响,Endor Labs 在 2022 年公布的《依赖项治理状态报告》中指出,95% 的易受攻击的依赖项都是可传递的。 而在数量宏大的依赖项中通过手动的形式查找它们相互之间的传递关系无异于海底捞针。
因而,理解依赖项之间的关联关系以及监控软件供应链外围的平安指标对于保障软件供应链平安至关重要。
软件供应链常识图
在 Seal 0.4 中新增了软件供应链常识图,直观地展现供应链中的组件类型以及它们的关联关系。此外,用户能够设置多种检索条件充沛把握软件资产平安合规状况。
软件供应链常识图
例如,当用户理解到某个破绽重大等级评分较高,想要查问该破绽是否存在于软件供应链中以及会影响到的所有软件资产,那么能够通过设置条件进行检索:
另外,如果企业发现某个许可证不合规,也能够通过常识图查找和某个许可证相干的所有软件资产:
更细粒度的指标可视化
因为软件供应链牵涉到整个软件开发生命周期的各个环节以及各种类型的平安问题,比方许可证合规、组件破绽、配置谬误、密钥泄露危险等,因而软件供应链平安问题始终是繁琐且简单的。 因而,要精确把握软件供应链全链路的平安情况就须要设置正当的且足够细粒度的指标进行监控。
在 Seal 0.4 中,全局视图将全面降级,用户能够在概览中查看更丰盛的统计信息和指标数据,比方问题严重性散布、许可证依赖散布、问题趋势等。
Seal 全局概览
除概览页外,用户能够在资源、利用详情页查看趋势图表及其他平安问题指标,帮忙开发团队评估各自我的项目中的平安缺点和修复状况。
灵便可控的扫描配置
Seal 0.3 将平安扫描扩大到了全链路,用户能够取得残缺的从代码仓库到运行环境全软件供应链各环节扫描检测能力。Seal 0.4 将提供更灵便的扫描配置,让开发团队能够依据本身需要设置扫描频率、触发规定等,次要包含:
- 反对自定义源代码仓库扫描的 Webhook 触发规定
- 反对自定义资源定期扫描的规定
- 反对自定义依赖组件修复倡议的生成配置
构建开发者敌对的全链路管理平台
为了响应一直变动的市场需求,企业须要疾速迭代产品以领先取得市场先机,进而获取微小的商业价值。要保障产品疾速迭代并平安公布,“左移”曾经成为业界共识,行将测试、平安、FinOps 等环节融入软件开发流程中,增强各部门之间的合作。
当开发团队也须要和平安团队独特承当平安责任时,加重开发团队的认知累赘、平滑学习曲线、升高学习老本变得尤为重要。Seal 致力于构建开发者敌对的全链路管理平台,通过直观、具体的可视化视图为开发人员提供清晰地问题修复门路,升高平安问题修复的老本。 在将来,Seal 将会针对开发人员的软件开发流程体验继续优化,请放弃关注哦!
如果您对 Seal 0.4 感兴趣,欢送拜访试用链接收费体验尝鲜:seal.io/trial