弥合软件供应链安全中的可见性差距

极狐GitLab 18.2 版本提供了全面的扫描器覆盖和传递依赖可视化支持。

我们最新的版本 极狐GitLab 18.2引入了两项增强软件供应链安全的新功能：安全资产清单（Security Inventory） 和 依赖路径可视化（Dependency Path Visualization）。

安全资产清单为应用安全团队提供群组和项目范围内风险与扫描覆盖的集中化视图，帮助识别盲区并优先处理风险缓解工作。依赖路径可视化使开发者清晰了解开源漏洞如何通过依赖链引入，从而更精准定位修复方案。

这些功能共同为安全和开发团队提供风险位置的可视性、修复上下文以及支持协作的工作流，帮助构建更安全的应用程序。与其他方案不同，这一切均在开发者用于构建、评审和部署软件的同一平台内完成，无需集成开销即可实现开发与安全的无缝协作。

开源扩大了攻击面

现代应用程序高度依赖开源软件，但开源引入了重大安全风险——组件可能过时、无人维护或存在未知漏洞。因此，软件成分分析（SCA）已成为现代应用安全计划的基石。

漏洞管理的核心挑战是有效管理传递依赖风险。这些组件通常深埋于依赖链中，难以追溯漏洞引入路径或确定修复方案。更严峻的是，它们占据了已知开源漏洞的近三分之二。缺乏完整的依赖路径可见性会导致团队盲目补救，延迟修复并加剧风险。

传递依赖指应用程序间接使用的软件包，由显式引入的直接依赖自动拉取。这些嵌套依赖可能在开发者不知情的情况下引入漏洞。

该挑战在规模化场景中呈指数级增长。当安全团队负责数百甚至数千个仓库（每个仓库拥有独立的依赖项、流水线和所有者）时，厘清应用安全风险态势变得异常困难。在软件供应链威胁日益严峻的时代，漏洞可通过共享库和CI/CD配置跨系统传播，这些盲点将造成更严重后果。

安全资产清单：可扩展的全局可见性

安全资产清单将群组和项目的风险信息整合至统一视图，清晰标注已扫描和未受保护的资产。安全团队可脱离孤立管理，从整体视角评估安全态势并聚焦关键风险点。

这种集中化管理对管理海量仓库的组织至关重要。它使平台和应用安全团队既能通过高亮未扫描/低保护项目定位风险，又能直接通过界面执行操作。团队可基于完整上下文识别高风险应用，实现从风险感知到强制执行的跨越。通过将碎片化数据转化为单一事实源，安全资产清单推动组织从事后应急转向战略化、数据驱动的安全治理。

依赖路径可视化：精准修复的清晰指引

安全资产清单宏观展示风险位置，依赖路径可视化则指导具体修复方案。

当漏洞深藏依赖链时，精准定位修复点极为复杂。多数安全工具仅标记受影响软件包，却未解释其如何进入代码库。开发者难以区分直接依赖与传递依赖，导致变更定位困难甚至错误修复。

新的依赖路径可视化（亦称依赖图）在SCA扫描后，完整展示从顶层软件包到漏洞组件的传递路径。这种透明化至关重要——尤其考虑到深嵌漏洞在依赖链中的普遍性。由于该功能内置于极狐GitLab工作流，开发者无需切换上下文或猜测即可获得可操作的洞察。安全团队可高效分诊议题，开发者则可确保修复直击根源。

以开发者为中心的安全风险管控

这些能力是极狐GitLab核心战略的组成部分：在代码规划、构建和部署的统一平台中内嵌安全能力。通过将安全洞察融入DevSecOps工作流，极狐GitLab降低了摩擦成本并促进开发与安全团队的协作。

安全资产清单与依赖路径可视化提供互补视角：前者实现规模化的态势管控，后者支持精准化修复。这种协同帮助团队聚焦关键风险，无需引入新工具或复杂集成即可弥合安全缺口。