Red Hat, en ledande leverantör av lösningar med öppen källkod, meddelar att Red Hat Trusted Software Supply Chain har uppdaterats med lösningar som främjar kundernas förmåga att integrera säkerhet i mjukvaruutvecklingens livscykel. Detta stärker mjukvarans integritet tidigare i leveranskedjan, samtidigt som branschföreskrifter och efterlevnadsstandarder följs.
Enligt analysföretaget IDC kommer 75% av CIO:erna senast 2027 att integrera cybersäkerhetsåtgärder direkt i system och processer för att proaktivt upptäcka och neutralisera sårbarheter, vilket stärker deras skydd mot cyberhot.[1] Organisationer börjar implementera säkerhetsprotokoll direkt i sina mjukvaruprocesser och övergår från reaktiva till proaktiva säkerhetsåtgärder för att förhindra intrång.
Sarwar Raza, vice president & general manager, Application Developer Business Unit, Red Hat:
– Organisationer strävar efter att minimera riskerna med kontinuerligt föränderliga säkerhetshot i sin mjukvaruutveckling för att behålla och stärka förtroendet hos användare, kunder och partners. Red Hat Trusted Software Supply Chain är utformad för att sömlöst integrera säkerhetsfunktioner i varje fas av mjukvaruutvecklingens livscykel. Dessa verktyg hjälper till att öka transparensen och förtroendet, samt ger DevSecOps-teamen möjlighet att skapa en säkrare verksamhet utan att påverka utvecklingshastigheten eller öka den kognitiva belastningen.
Jim Mercer, Program vice president, Software Development, DevOps & DevSecOps, IDC:
– Red Hat har säkrat öppen källkod-mjukvara och dess leveranskedja i 30 år och fortsätter förbättra sin due diligence genom att skydda mot manipulation och garantera att all kod lagras i interna arkiv, samt att distribuerad programvara är signerad för att förbättra dess digitala ursprung. Red Hat Trusted Software Supply Chain utökar sin befintliga säkerhet kring due diligence för öppen källkod för att hjälpa kunder att hantera sina leveranskedjor och programvara med samma tillförlitliga leveranskedja för programvara som Red Hat använder för att leverera öppen källkod-mjukvara.
Red Hat Trusted Software Supply Chain levererar mjukvara och tjänster som stärker organisationers motståndskraft mot sårbarheter, vilket möjliggör för dem att tidigt identifiera och åtgärda problem innan de kan utnyttjas. Organisationer kan nu koda, bygga, distribuera och övervaka sin mjukvara mer effektivt med hjälp av beprövade plattformar, pålitligt innehåll, samt säkerhetsskanning och sanering i realtid.
Baserat på det öppen källkod-projektet Sigstore, grundat av Red Hat och nu en del av Open Source Security Foundation, ökar Red Hat Trusted Artifact Signer tillförlitligheten hos mjukvaruartefakter genom att möjliggöra kryptografisk signering och verifiering av artefakter med hjälp av en nyckellös certifikatutfärdare.
Dess integration med OpenID Connect för identitetsbaserad signering gör att organisationer kan lita på äktheten och integriteten i sin mjukvaruförsörjningskedja utan extra kostnader och krångel med ett centraliserat nyckelhanteringssystem.
Utvecklings- och säkerhetsteam behöver inblick i riskprofilen för en applikations kodbas för att proaktivt identifiera och minimera säkerhetshot och sårbarheter.
Red Hat Trusted Profile Analyzer förenklar sårbarhetshantering genom att tillhandahålla en sanningskälla för säkerhetsdokumentation, inklusive Software Bill of Materials (SBOM) och Vulnerability Exploitability Exchange (VEX). Organisationer kan hantera och analysera sammansättningen av mjukvarutillgångar och dokumentation av anpassad, tredjeparts- och öppen källkodsprogramvara utan att det påverkar utvecklingstakten eller ökar den operativa komplexiteten.
Red Hat Trusted Application Pipeline kombinerar funktionerna hos Red Hat Trusted Profile Analyzer och Red Hat Trusted Artifact Signer med Red Hat Developer Hub, en företagsklassad utvecklarplattform, för att erbjuda säkerhetsfokuserade leveranskedjefunktioner för programvaruförsörjning som är förintegrerade i utvecklarnas självbetjäningssmallar. Red Hat Trusted Application Pipeline består av ett centralt utvecklarnav med validerade mjukvarumallar och inbyggda säkerhetsfunktioner. Dessa standardiserar och påskyndar införandet av säkerhetsfokuserade strategier för att öka förtroende och transparens under kodutveckling.
Organisationer kan använda erbjudandet för att verifiera efterlevnad i pipeline och tillhandahålla spårbarhet och granskning i CI/CD-processen med en automatiserad förtroendekedja som validerar artefaktsignaturer och tillhandahåller härkomstinformation och intyg. Företagskontrakt med sårbarhetsskanning och policykontroll direkt från CI/CD-pipelinen kan förhindra misstänkt byggaktivitet från att nå produktion.
Dessa erbjudanden kan hanteras på plats och implementeras på applikationsplattformar, såsom Red Hat OpenShift, eller användas separat, vilket ger flexibilitet och valmöjligheter för att tillgodose utvecklarnas specifika behov.
Tillgänglighet
Red Hat Trusted Artifact Signer och Red Hat Trusted Application Pipeline finns nu tillgängliga. Red Hat Trusted Profile Analyzer finns tillgänglig i teknisk förhandsvisning, med förväntad allmän tillgänglighet detta kvartal.
Besök red.ht/assured eller Red Hats kundportal för mer information.
