Red Hat, Inc. zaprezentował kompleksowe rozwiązanie Red Hat Trusted Software Supply Chain, które zwiększa odporność przedsiębiorstw na luki w zabezpieczeniach łańcucha dostaw oprogramowania.
W ramach tego rozwiązania udostępnione zostały dwie nowe usługi chmurowe: Red Hat Trusted Application Pipeline oraz Red Hat Trusted Content. Dołączyły one w trybie podglądowym do istniejącego oprogramowania Red Hat i usług w chmurze, takich jak Quay oraz Advanced Cluster Security (ACS). Ułatwia to szybkie i skuteczne przyjmowanie praktyk DevSecOps oraz uwzględnianie aspektów dotyczących bezpieczeństwa na każdym etapie cyklu życia oprogramowania.
Dzięki Red Hat Trusted Software Supply Chain klienci mogą szybciej i wydajniej tworzyć kod, kompilować i monitorować swoje oprogramowanie przy użyciu sprawdzonych platform, certyfikowanej zawartości oraz mechanizmów skanowania pod kątem bezpieczeństwa i neutralizacji zagrożeń w czasie rzeczywistym. Rozwiązanie to bazuje na ponad 30-letnim zaufaniu klientów i branży do firmy Red Hat, zdobytym dzięki konsekwentnemu dostarczaniu niezawodnego oprogramowania open source, które ułatwia przedsiębiorstwom przyspieszenie wdrażania chmury hybrydowej, przy jednoczesnym zachowaniu wysokiego poziomu bezpieczeństwa IT.
Zaufany łańcuch dostaw oprogramowania Red Hat
Ponieważ w obecnych czasach średnio 75% kodu aplikacji ma charakter otwarty, organy regulacyjne i agencje rządowe poddają te komponenty większej kontroli – zwłaszcza że ataki na łańcuch dostaw oprogramowania wzrosły o 742% od 2020 roku. Aby przyspieszyć innowacje bez narażania bezpieczeństwa, klienci starają się zintegrować zabezpieczenia z łańcuchem dostaw i cyklami rozwoju oprogramowania.
Oprogramowanie i usługi dostarczane w ramach Red Hat Trusted Software Supply Chain zwiększają odporność przedsiębiorstw na luki w zabezpieczeniach na każdym etapie cyklu życia nowoczesnego oprogramowania. Podstawą świadczenia usługi Red Hat Trusted Content jest katalog oprogramowania systemowego o zwiększonym bezpieczeństwie, z tysiącami zaufanych pakietów w samym systemie operacyjnym Red Hat Enterprise Linux, a także katalogiem krytycznych aplikacji w ekosystemach Java, Node i Python. Usługa ma na celu zapewnienie klientom największej zaufanej biblioteki treści na temat pakietów open source w branży.
Fundament usługi Red Hat Trusted Application Pipeline stanowi praca Red Hat przy tworzeniu, uruchamianiu i utrzymywaniu usługi sigstore, która zapewnia ogólnodostępny standard bezpiecznej autoryzacji w chmurze, a także udostępnia krytyczne elementy współdzielonej infrastruktury bezpieczeństwa dla wielu społeczności. Trusted Application Pipeline oferuje ukierunkowaną na bezpieczeństwo usługę ciągłej integracji/ciągłego dostarczania (CI/CD), która upraszcza wdrażanie procesów, technologii i wiedzy specjalistycznej wykorzystywanych przez Red Hat do tworzenia oprogramowania produkcyjnego.
Łączenie innowacji w oprogramowaniu z bezpieczeństwem kodu źródłowego
Usługa Red Hat Trusted Content zostanie udostępniona w wersji podglądowej w nadchodzących tygodniach. Zapewni programistom wiedzę w czasie rzeczywistym na temat znanych luk i zagrożeń bezpieczeństwa w wykorzystywanym przez nich oprogramowaniu open source. Zasugeruje również możliwe środki zaradcze w celu zminimalizowania ryzyka, przez co pomoże skrócić czas i koszty rozwoju. Red Hat Trusted Content zapewnia dostęp do oprogramowania open source stworzonego i wyselekcjonowanego przez Red Hat, z pełną gwarancją bezpieczeństwa, przy użyciu najlepszych wewnętrznych praktyk Red Hat w celu spełnienia wymogów regulacyjnych i zgodności. Po wdrożeniu usługa proaktywnie monitoruje i ostrzega użytkowników o nowych i pojawiających się zagrożeniach w aplikacjach open source, co umożliwia ich szybsze usuwanie.
Usługa Red Hat Trusted Application Pipeline jest już dostępna w wersji podglądowej. Pomaga klientom zwiększyć bezpieczeństwo łańcuchów dostaw oprogramowania aplikacyjnego dzięki zintegrowanemu mechanizmowi CI/CD. Aplikacje mogą być budowane bezpieczniej i łatwiej integrowane z kontenerami Linux, a następnie wdrażane na Red Hat OpenShift lub innych platformach Kubernetes za pomocą zaledwie kilku kliknięć. Wcześniej często był to proces w znaczącym stopniu ręczny, z setkami linii automatyzującego kodu wymaganymi do tworzenia, testowania i wdrażania aplikacji kontenerowych. Takie podejście mogło przyczyniać się do potencjalnych niedociągnięć i ludzkich błędów, a przez to do powstawania nowych punktów ryzyka i spowalniania tempa wdrożenia.
Dzięki Red Hat Trusted Application Pipeline klienci firmy Red Hat mogą:
• Importować repozytoria git i konfigurować w zaledwie kilku krokach – za pośrednictwem usługi chmurowej – natywne dla kontenerów procesy ciągłego kompilowania, testowania i wdrażania.
• Sprawdzać kod źródłowy i jego zależności.
• Automatycznie generować zestawienia informacji o oprogramowaniu (Software Bill of Materials, SBOM) w ramach kompilacji.
• Weryfikować i promować obrazy kontenerów za pomocą mechanizmu polityki kryteriów, co pomaga potwierdzić spójność ze standardami branżowymi, takimi jak Supply chain Levels for Software Artifacts (SLSA).
