Red Hat Trusted Content poskytne vývojářům v reálném čase informace o známých zranitelnostech a bezpečnostních rizicích v rámci jejich závislostí na softwaru s otevřeným zdrojovým kódem.
Red Hat představil řešení Red Hat Trusted Software Supply Chain, které zvyšuje odolnost vůči zranitelnostem v dodavatelském řetězci softwaru. Součástí tohoto řešení jsou dvě nové cloudové služby Red Hat Trusted Application Pipeline a Red Hat Trusted Content, které se připojují ke stávajícím softwarovým a cloudovým službám společnosti Red Hat, včetně služeb Quay a Advanced Cluster Security (ACS), s cílem podpořit úspěšné zavádění postupů DevSecOps a začlenit bezpečnostní aspekty do životního cyklu vývoje softwaru.
Díky Red Hat Trusted Software Supply Chain mohou zákazníci rychleji a efektivněji vyvíjet, sestavovat a monitorovat svůj software s využitím osvědčených platforem, důvěryhodného obsahu a bezpečnostního skenování a odstraňování hrozeb v reálném čase.
Důvěryhodný dodavatelský řetězec softwaru Red Hatu
Vzhledem k tomu, že 75 % zdrojových kódů aplikací je nyní tvořeno otevřeným kódem, jsou tyto komponenty pod větším drobnohledem, zejména proto, že počet útoků na dodavatelský řetězec softwaru vzrostl od roku 2020 o 742 %. Zákazníci se tak snaží do svého dodavatelského řetězce softwaru a vývojových životních cyklů integrovat ochranné prvky, aby urychlili inovace bez ohrožení bezpečnosti.
Software a služby dodávané v rámci Red Hat Trusted Software Supply Chain zvyšují odolnost organizace vůči zranitelnostem v celém životním cyklu moderního vývoje softwaru. Red Hat Trusted Content staví na základech systémového softwaru se zvýšeným zabezpečením, který jen v systému Red Hat Enterprise Linux obsahuje tisíce důvěryhodných balíčků a katalog kritických běhových prostředí aplikací v ekosystémech Java, NodeJS a Python. Služba poskytuje zákazníkům důvěryhodný obsah se zabezpečením na podnikové úrovni a znalosti o balíčcích s otevřeným zdrojovým kódem v zákaznických aplikacích.
Služba Red Hat Trusted Application Pipeline vychází ze základů práce na vytváření, spouštění a údržbě služby Sigstore pro podepisování a ověřování kódu, která poskytuje volně dostupný standard pro bezpečné podepisování v cloudu a zároveň i kritické části sdílené bezpečnostní infrastruktury mnoha komunitám v upstreamu. Trusted Application Pipeline nabízí na bezpečnost zaměřenou službu Continuous Integration/Continuous Delivery (CI/CD), která zjednodušuje zavádění procesů, technologií a odborných znalostí, jež Red Hat používá k vytváření produkčního softwaru.
Kombinace softwarových inovací se zabezpečením zdrojového kódu
Služba Red Hat Trusted Content poskytne vývojářům v reálném čase informace o známých zranitelnostech a bezpečnostních rizicích v rámci jejich závislostí na softwaru s otevřeným zdrojovým kódem. Služba také navrhne dostupná nápravná opatření k minimalizaci rizik, čímž pomůže zkrátit čas a náklady na vývoj. Služba Red Hat Trusted Content poskytuje přístup k obsahu open source softwaru vytvořeného a spravovaného společností Red Hat, jehož původ je ověřen a potvrzen pomocí jejích interních osvědčených postupů. Jakmile je aplikace v produkčním provozu, služba proaktivně monitoruje a upozorňuje uživatele na známá nová a vznikající rizika v jejich závislostech na open source, což umožňuje rychlejší eliminaci nově se objevujících hrozeb.
Red Hat Trusted Application Pipeline pomáhá zákazníkům zvýšit zabezpečení dodavatelských řetězců aplikačního softwaru pomocí integrované CI/CD pipeline. Aplikace lze efektivněji vytvářet a snadněji integrovat do linuxových kontejnerů a následně je několika kliknutími nasadit na platformu Red Hat OpenShift nebo jiné platformy Kubernetes. Dříve tento postup vyžadoval značnou míru manuální práce a pro sestavení, testování a nasazení kontejnerizovaných aplikací bylo třeba stovek řádků automatizačního kódu, přičemž tento manuální proces otevírá prostor pro potenciální třecí plochy a lidské chyby, což přidává nové rizikové body a zpomaluje celkovou rychlost procesu.
S Red Hat Trusted Application Pipeline mohou zákazníci společnosti Red Hat:
• importovat repozitáře Git a konfigurovat kontejnerově nativní průběžné vytváření, testování a nasazování pipelines prostřednictvím cloudové služby v několika málo krocích,
• kontrolovat zdrojový kód a přechodné závislosti,
• automaticky generovat softwarové kusovníky (SBOM) v rámci buildů a
• ověřovat a spouštět obrazy kontejnerů s využitím zásad kritérií pro vydání, které pomáhají zajistit soulad s oborovými rámci, jako jsou úrovně dodavatelského řetězce pro softwarové artefakty (SLSA, Supply-chain Levels for Software Artifacts).