Red Hat, Inc., wiodący na świecie dostawca oprogramowania open source, zaprezentował kompleksowe rozwiązanie Red Hat Trusted Software Supply Chain, które zwiększa odporność przedsiębiorstw na luki w zabezpieczeniach łańcucha dostaw oprogramowania. W ramach tego rozwiązania udostępnione zostały dwie nowe usługi chmurowe: Red Hat Trusted Application Pipeline oraz Red Hat Trusted Content. Dołączyły one w trybie podglądowym do istniejącego oprogramowania Red Hat i usług w chmurze, takich jak Quay oraz Advanced Cluster Security (ACS). Ułatwia to szybkie i skuteczne przyjmowanie praktyk DevSecOps oraz uwzględnianie aspektów dotyczących bezpieczeństwa na każdym etapie cyklu życia oprogramowania.
Dzięki Red Hat Trusted Software Supply Chain klienci mogą szybciej i wydajniej tworzyć kod, kompilować i monitorować swoje oprogramowanie przy użyciu sprawdzonych platform, certyfikowanej zawartości oraz mechanizmów skanowania pod kątem bezpieczeństwa i neutralizacji zagrożeń w czasie rzeczywistym. Rozwiązanie to bazuje na ponad 30-letnim zaufaniu klientów i branży do firmy Red Hat, zdobytym dzięki konsekwentnemu dostarczaniu niezawodnego oprogramowania open source, które ułatwia przedsiębiorstwom przyspieszenie wdrażania chmury hybrydowej, przy jednoczesnym zachowaniu wysokiego poziomu bezpieczeństwa IT.
„Przedsiębiorstwa IT nie mogą już zajmować się wyłącznie tworzeniem aplikacji produkcyjnych. Muszą również zwiększyć bezpieczeństwo komponentów, które składają się na produkt końcowy. Weryfikacja pochodzenia komponentów bazujących na otwartym źródle, wraz z ciągłym skanowaniem zarówno kodu przechodzącego przez procesy dostarczania, jak też samych tych procesów, wraz z egzekwowaniem solidnych praktyk rozwoju i dostarczania, może być poważnym wyzwaniem dla osób na stanowisku CIO. Red Hat Trusted Software Supply Chain ma na celu zaspokojenie tych potrzeb poprzez wykorzystanie dziesięcioleci doświadczenia firmy Red Hat w łańcuchach dostaw oprogramowania open source i przekształcenie go w łatwo integrowane i proste w użyciu usługi. Pomaga to nie tylko budować zaufanie do aplikacji produkcyjnych, ale także szybciej wprowadzać je na rynek.” – Sarwar Raza, wiceprezes i dyrektor generalny ds. usług w chmurze, Red Hat.
Zaufany łańcuch dostaw oprogramowania Red Hat
Ponieważ w obecnych czasach średnio 75% kodu aplikacji ma charakter otwarty, organy regulacyjne i agencje rządowe poddają te komponenty większej kontroli – zwłaszcza, że ataki na łańcuch dostaw oprogramowania wzrosły o 742% od 2020 roku. Aby przyspieszyć innowacje bez narażania bezpieczeństwa klienci starają się zintegrować zabezpieczenia z łańcuchem dostaw i cyklami rozwoju oprogramowania.
Oprogramowanie i usługi dostarczane w ramach Red Hat Trusted Software Supply Chain zwiększają odporność przedsiębiorstw na luki w zabezpieczeniach na każdym etapie cyklu życia nowoczesnego oprogramowania. Podstawą świadczenia usługi Red Hat Trusted Content jest katalog oprogramowania systemowego o zwiększonym bezpieczeństwie, z tysiącami zaufanych pakietów w samym systemie operacyjnym Red Hat Enterprise Linux, a także katalogiem krytycznych aplikacji w ekosystemach Java, Node i Python. Usługa ma na celu zapewnienie klientom największej zaufanej biblioteki treści na temat pakietów open source w branży.
Fundament usługi Red Hat Trusted Application Pipeline stanowi praca Red Hat przy tworzeniu, uruchamianiu i utrzymywaniu usługi sigstore, która zapewnia ogólnodostępny standard bezpiecznej autoryzacji w chmurze, a także udostępnia krytyczne elementy współdzielonej infrastruktury bezpieczeństwa dla wielu społeczności. Trusted Application Pipeline oferuje ukierunkowaną na bezpieczeństwo usługę ciągłej integracji/ciągłego dostarczania (CI/CD), która upraszcza wdrażanie procesów, technologii i wiedzy specjalistycznej wykorzystywanych przez Red Hat do tworzenia oprogramowania produkcyjnego.
Łączenie innowacji w oprogramowaniu z bezpieczeństwem kodu źródłowego
Usługa Red Hat Trusted Content zostanie udostępniona w wersji podglądowej w nadchodzących tygodniach. Zapewni programistom wiedzę w czasie rzeczywistym na temat znanych luk i zagrożeń bezpieczeństwa w wykorzystywanym przez nich oprogramowaniu open source. Zasugeruje również możliwe środki zaradcze w celu zminimalizowania ryzyka, przez co pomoże skrócić czas i koszty rozwoju. Red Hat Trusted Content zapewnia dostęp do oprogramowania open source stworzonego i wyselekcjonowanego przez Red Hat, z pełną gwarancją bezpieczeństwa, przy użyciu najlepszych wewnętrznych praktyk Red Hat w celu spełnienia wymogów regulacyjnych i zgodności. Po wdrożeniu usługa proaktywnie monitoruje i ostrzega użytkowników o nowych i pojawiających się zagrożeniach w aplikacjach open source, co umożliwia ich szybsze usuwanie.
Usługa Red Hat Trusted Application Pipeline jest już dostępna w wersji podglądowej. Pomaga klientom zwiększyć bezpieczeństwo łańcuchów dostaw oprogramowania aplikacyjnego dzięki zintegrowanemu mechanizmowi CI/CD. Aplikacje mogą być budowane bezpieczniej i łatwiej integrowane z kontenerami Linux, a następnie wdrażane na Red Hat OpenShift lub innych platformach Kubernetes za pomocą zaledwie kilku kliknięć. Wcześniej często był to proces w znaczącym stopniu ręczny, z setkami linii automatyzującego kodu wymaganymi do tworzenia, testowania i wdrażania aplikacji kontenerowych. Takie podejście mogło przyczyniać się do potencjalnych niedociągnięć i ludzkich błędów, a przez to do powstawania nowych punktów ryzyka i spowalniania tempa wdrożenia.
Dzięki Red Hat Trusted Application Pipeline klienci firmy Red Hat mogą:
- Importować repozytoria git i konfigurować w zaledwie kilku krokach – za pośrednictwem usługi chmurowej – natywne dla kontenerów procesy ciągłego kompilowania, testowania i wdrażania.
- Sprawdzać kod źródłowy i jego zależności.
- Automatycznie generować zestawienia informacji o oprogramowaniu (Software Bill of Materials, SBOM) w ramach kompilacji.
- Weryfikować i promować obrazy kontenerów za pomocą mechanizmu polityki kryteriów, co pomaga potwierdzić spójność ze standardami branżowymi, takimi jak Supply chain Levels for Software Artifacts (SLSA).
“Bezpieczeństwo łańcucha dostaw jest obecnie jednym z najważniejszych priorytetów dla przedsiębiorstw IT, zwłaszcza że coraz więcej krytycznych dla biznesu systemów i aplikacji zawiera lub wykorzystuje orpogramowanie open source. Red Hat Trusted Software Supply Chain bazuje na wieloletnich wewnętrznych procesach łańcucha dostaw firmy Red Hat oraz stanowi duży krok naprzód dla branży, pod kątem tworzenia bezpiecznych i nowoczesnych aplikacji. Co równie ważne, produkt ten otwiera zestaw rozwiązań Red Hat dla społeczności programistów poza istniejącym ekosystemem Red Hat. Oznacza to, że każdy twórca nowoczesnych aplikacji – nie tylko programiści RHEL – może skorzystać z tego rozwiązania” – Al Gillen, group vice president, Development and Open Source, IDC.