共计 3144 个字符,预计需要花费 8 分钟才能阅读完成。
Seal 软件供应链防火墙 v0.2 已于近日公布。这款产品旨在为企业提供代码平安、构建平安、依赖项平安及运行环境平安等 4 大防护,通过全链路扫描、问题关联及危险组织的形式爱护企业软件供应链平安,升高企业安全漏洞修复老本。 通过 Seal 软件供应链防火墙,用户能够取得软件开发生命周期各个环节的可见性,进而以全局视角管理软件供应链。最新版本欠缺了 Seal 软件供应链防火墙的根底性能,包含依赖剖析加强、IaC 扫描、插件式可扩大架以及破绽匹配规定优化等个性。
Seal 软件供应链防火墙架构图
产品文档地址:
https://seal-io.github.io/docs/
产品试用申请:
https://seal.io/trial
具体的软件物料剖析
据钻研显示,超过 90% 的企业曾经在应用程序的开发过程中引入第三方开源组件。因而,软件物料清单(SBOM)是保障软件供应链平安的重要一环。在这一版本中,Seal 软件供应链防火墙针对 SBOM 进行了加强。
依赖剖析加强
古代应用程序通常建设在数百个甚至数千个第三方组件之上,这些被称为依赖组件。Seal 软件供应链防火墙针对单个我的项目或全局为用户提供依赖组件的具体洞察,包含:
- 反对查看和检索单个我的项目或全局的依赖组件
- 反对查看依赖树和各组件的依赖门路
- 提供依赖组件的发行信息、许可证、破绽状况、平安评分等信息
- 反对导出软件物料清单(SBOM)
基于自研破绽库优化破绽匹配规定
Seal 软件供应链防火墙 v0.2 开始启用 Seal 自研的聚合破绽数据库,该数据库 基于上游 GitHub、GitLab、OSV 等破绽数据库进行数据聚合、荡涤及解决,优化了破绽匹配规定,并反对通过包名或者破绽名称查问破绽,从而理解破绽所影响的版本范畴及以后的修复状态。
后续 Seal 破绽数据库将继续整合各类上游破绽源并集成 Seal 平安团队的破绽钻研发现,晋升用户破绽检索体验。
灵便且弱小的平安扫描
“平安左移”的理念早已成为业界共识,Seal 软件供应链防火墙基于“平安左移”的理念,在代码提交、依赖引入阶段开始进行平安扫描,确保企业用户能在开发晚期发现破绽以升高修复老本。
基础设施即代码(IaC)平安扫描
与传统的 IT 基础架构相比,基础设施即代码(IaC)能够更高效地交付软件,同时随着企业应用云的形式愈发简单、云上基础设施的负荷一直减少,IaC 的自动化配置对于泛滥企业来说具备弱小的吸引力,但同时也存在肯定的平安危险。Seal 软件供应链防火墙反对 IaC 平安扫描,能够检测包含 Dockerfile、Kubernetes 资源文件、Terraform 文件等基础设施代码中的平安问题,同时反对手动触发扫描和更灵便的定时扫描配置,并优化扫描速度。
开箱即用的第三方集成
灵便可扩大架构
随着软件供应链平安失去越来越多的组织器重,相干扫描工具愈发丰盛和成熟。在这一版本中,Seal 软件供应链防火墙实现了可扩大架构,用户能够依据本身应用习惯插件式集成原生或第三方解决方案,灵便扩大扫描能力,打造开箱即用的便捷体验。
集成 Jira Cloud
Seal 软件供应链防火墙曾经实现对 Jira Cloud 的集成,用户能够将发现的平安问题间接提交到 Jira 以便进行后续修复。
疾速上手 Seal 软件供应链防火墙
本节将简略演示如何疾速部署 Seal 软件供应链防火墙,并应用 Seal 软件供应链防火墙在源码仓库和构建物仓库拦挡危险。
后期筹备
- 一台至多 4CPU,8Gi 内存的 Linux 服务器
- 至多 50GB 的空余磁盘空间
- 服务器领有一个公网可拜访的地址,例如一个云服务商调配的私有 IP 地址,或者 ngrok 调配的代理地址(ngrok.com/)
- 本地机器装置 maven
部署 Seal 软件供应链防火墙
1、在 Linux 服务器上安装 Docker,具体指引参考 Docker 官网文档(docs.docker.com)
2、返回官网申请产品试用镜像(seal.io/trial)
3、运行以下指令
sudo docker run -d --privileged --restart=always -p 80:80 -p 443:443 -p 10000:10000 <seal-container-image>通过 https://<server-address> 拜访 Seal 的 UI。第一次登陆时依据 UI 提醒,在服务器上运行以下指令获取初始的管理员明码:
sudo docker logs <your-container-id> 2>&1 | grep "Bootstrap Admin Password"以 admin 用户名以及初始管理员明码登陆 Seal。依据 UI 提醒设置新的明码以及 Seal 的拜访地址。
应用 Seal 治理 Github 代码仓库
- 拜访 Github fork 示例我的项目(https://github.com/seal-io/si…),勾销勾选
Copy the main branch only。 - 在 Seal UI 点击【集成】菜单,点击 Github 图标。
- 依据 UI 阐明创立 Github 利用,并将 Client ID 和 Client Secret 填入表单。
- 点击【连贯 Github】按钮,在弹窗中点击受权。
- 在源码仓库列表中搜寻并勾选
simple-java-maven-app,点击导入仓库。 - 在你的我的项目分叉中创立新的 Pull request,设置 PR 基准为 fork 的 main 分支,申请合并的变更为 fork 的 test 分支。
- 点击创立 Pull request。
- 确认 Seal 的查看作用于该 Pull request。
应用 Seal 拦挡危险软件包的下载
1、点击 Seal UI 导航栏中的【集成】菜单,点击 Maven 构件代理的图标。
2、代理名称输出central,上游地址输出 https://repo.maven.apache.org…,点击【保留】按钮。
3、记录列表中显示的代理地址。
4、运行以下指令克隆示例我的项目代码
git clone https://github.com/seal-io/simple-java-maven-app5、将以下文件内容写入 ~/.m2/settings.xml 文件,其中将镜像 url 更换为上述 Maven 构件代理地址。
<settings>
<mirrors>
<mirror>
<id>other-mirror</id>
<name>Other Mirror Repository</name>
<url>http://your-proxy-address:10000</url>
<mirrorOf>central</mirrorOf>
</mirror>
</mirrors>
</settings>6、在示例我的项目中运行mvn package,确认带高危破绽的软件包依赖被拦挡。
欢送试用体验
如果您心愿进一步理解 Seal 软件供应链防火墙 v0.2 的新个性,请拜访:
产品试用申请:
https://seal.io/trial
产品文档:
https://seal-io.github.io/docs/
视频 Demo:
https://www.bilibili.com/vide…
About Seal
数澈软件 Seal 成立于 2022 年,旨在构建新一代软件供应链平安解决方案,目前已实现数千万元种子轮融资。开创团队成员均来自业界利用最为宽泛的 Kubernetes 治理平台 Rancher 的外围团队。其中,联结创始人及 CTO 梁胜博士是前 SUSE 寰球工程及翻新总裁,退出 SUSE 之前,梁胜博士于 2014 年 9 月创建寰球驰名的容器治理平台公司 Rancher Labs 并负责 CEO。
旗舰产品 Seal 软件供应链防火墙旨在为企业提供代码平安、构建平安、依赖项平安及运行环境平安等 4 大防护,通过全链路扫描、问题关联及危险组织的形式保障企业软件供应链平安,确保在破绽初期以低成本实现修复工作,保障企业 IT 平安无虞。
