Red Hat hat Updates für Red Hat Trusted Software Supply Chain angekündigt. Diese Lösungen ermöglichen es Unternehmen, Sicherheit in den Lebenszyklus der Softwareentwicklung einzubetten und die Softwareintegrität zu einem früheren Zeitpunkt in der Lieferkette zu erhöhen, während gleichzeitig die Branchen-Vorschriften und Compliance-Standards eingehalten werden.
Laut den Branchenanalysten von IDC werden „bis 2027 75 Prozent der CIOs Cybersicherheitsmaßnahmen direkt in Systeme und Prozesse integrieren, um Schwachstellen proaktiv zu erkennen und zu neutralisieren und sich so gegen Cyberbedrohungen und Sicherheitsverletzungen zu wappnen." Unternehmen gehen dazu über, Sicherheits-protokolle direkt in ihre Softwareprozesse zu integrieren und ihre reaktiven Sicherheitsmaßnahmen durch proaktive zu ersetzen, um Sicherheitsverletzungen zu verhindern, bevor diese überhaupt passieren.
Red Hat Trusted Software Supply Chain liefert Software und Services, die die Widerstandsfähigkeit von Unternehmen gegenüber Schwachstellen erhöhen und es in die Lage versetzen, potenzielle Probleme frühzeitig zu erkennen und zu beheben, bevor sie ausgenutzt werden können. Firmen können ihre Software effizienter programmieren, bereitstellen, einsetzen und überwachen, indem sie bewährte Plattformen, vertrauenswürdige Inhalte und Echtzeit-Security nutzen.
Red Hat Trusted Artifact Signer basiert auf dem Open-Source-Projekt Sigstore, das von Red Hat gegründet wurde und jetzt Teil der Open Source Security Foundation ist. Es erhöht die Vertrauenswürdigkeit von Software-Artefakten, die die Software-Lieferkette durchlaufen, indem es Entwicklern und Beteiligten ermöglicht, die Artefakte mithilfe einer schlüssellosen Zertifizierungsstelle kryptografisch zu signieren und zu verifizieren.
Dank der identitätsbasierten Signierung durch die Integration mit OpenID Connect können Unternehmen Vertrauen in die Authentizität und Integrität ihrer Software-Lieferkette haben, ohne den Aufwand und die Probleme, die mit der Verwaltung eines zentralisierten Schlüsselverwaltungssystems verbunden sind.
Entwicklungs- und Sicherheitsteams benötigen außerdem Transparenz und Einblick in das Risikoprofil der Codebasis einer Anwendung, um Sicherheitsbedrohungen und Schwachstellen proaktiv erkennen und minimieren zu können. Red Hat Trusted Profile Analyzer vereinfacht das Schwachstellenmanagement, indem es eine einheitliche Quelle für die Sicherheitsdokumentation bietet, einschließlich Software Bill of Materials (SBOM) und Vulnerability Exploitability Exchange (VEX).
Unternehmen können die Zusammensetzung von Software-Assets und die Dokumentation von benutzerdefinierter, Drittanbieter- und Open-Source-Software verwalten und analysieren, ohne die Entwicklung zu verlangsamen oder die betriebliche Komplexität zu erhöhen.
Red Hat Trusted Application Pipeline kombiniert die Funktionen von Red Hat Trusted Profile Analyzer und Red Hat Trusted Artifact Signer mit Red Hat Developer Hub, der internen Entwicklerplattform von Red Hat, um sicherheitsorientierte Software-Supply-Chain-Funktionen bereitzustellen, die in Self-Service-Templates für Entwickler vorintegriert sind.
Red Hat Trusted Application Pipeline besteht aus einem zentralen Developer Hub mit validierten Software-Vorlagen und integrierten Leitplanken, die das Onboarding eines sicherheitsorientierten „Golden Path“ standardisieren und beschleunigen, um das Vertrauen und die Transparenz der Code-Time zu erhöhen.
Unternehmen können das Angebot nutzen, um die Konformität der Pipeline zu verifizieren und Nachvollziehbarkeit sowie Auditierbarkeit im CI/CD-Prozess mit einer automatisierten Vertrauenskette, die Artefakt-Signaturen validiert und Provenance und Attestierungen bietet, zu gewährleisten. Unternehmensverträge mit Schwachstellen-Scans und Richtlinienprüfungen direkt in der CI/CD-Pipeline können verhindern, dass verdächtige Build-Aktivitäten in die Produktion gelangen.
Diese Angebote sind als selbstverwaltete On-Premise-Funktionen verfügbar und können auf Anwendungsplattformen wie Red Hat OpenShift aufgesetzt oder separat genutzt werden, was den Entwicklern Flexibilität und Auswahlmöglichkeiten für ihre spezifischen Anforderungen bietet.