ClickCease Red Hat verbessert die Sicherheit der Software-Lieferkette

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Red Hat verbessert die Sicherheit der Software-Lieferkette

Rohan Timalsina

7. Juni 2023. TuxCare-Expertenteam

Red Hat hat eine Lösung namens Red Hat Trusted Software Supply Chain eingeführt, die den Schutz vor Schwachstellen in der Software-Lieferkette erhöht.

Mit dieser Innovation werden zwei neue Cloud-Services eingeführt: Red Hat Trusted Application Pipeline und Red Hat Trusted Content. Beide ergänzen die bestehende Suite von Red Hat Software- und Cloud-Diensten, darunter Quary und Advanced Cluster Security (ACS), um die erfolgreiche Einführung von DevSecOps-Praktiken voranzutreiben und Sicherheit in den gesamten Lebenszyklus der Softwareentwicklung zu integrieren.

 

Sicherheit in der Lieferkette ist wichtig

Heutzutage haben böswillige Akteure ihre Aufmerksamkeit schnell auf die Software-Lieferkette gerichtet, da sie diese als ein Hauptziel für ihre Aktivitäten erkannt haben. Diese gezielten Angriffe konzentrieren sich auf die Ausnutzung grundlegender Softwarekomponenten mit dem Ziel, verheerende Folgen wie Datenschutzverletzungen, Dienstunterbrechungen und andere schwerwiegende Folgen zu verursachen.

Angesichts der entscheidenden Rolle, die Software bei der Abwicklung des täglichen Geschäftsbetriebs spielt, wird die Gewährleistung der Sicherheit der Software-Lieferkette zu einer wesentlichen Aufgabe für jedes Unternehmen und seine Sicherheitsteams.

 

Red Hat Trusted Software Lieferkette

Mit Red Hat Trusted Software Supply Chain können Kunden ihre Software schneller und effektiver programmieren, erstellen und überwachen, indem sie zuverlässige Plattformen, vertrauenswürdige Inhalte und Sicherheitsscans und -korrekturen in Echtzeit nutzen.

Da Open-Source-Code inzwischen 75 % der Code-Basis von Anwendungen ausmacht, werden diese Komponenten genauer unter die Lupe genommen. Dies ist besonders wichtig, wenn man bedenkt, dass die Zahl der Angriffe auf die Software-Lieferkette seit 2020 um 742 % gestiegen ist. Daher suchen Kunden aktiv nach Möglichkeiten, Leitplanken in ihre Software-Lieferkette und ihre Entwicklungslebenszyklen zu integrieren, um Innovationen zu beschleunigen und gleichzeitig Sicherheitsstandards einzuhalten.

 

Vertrauenswürdige Inhalte von Red Hat

Eine wichtige Komponente ist Red Hat Trusted Content, der auf einem Fundament aus sicherheitsoptimierter Systemsoftware aufbaut. Mit Tausenden von vertrauenswürdigen Paketen, die ausschließlich in Red Hat Enterprise Linux verfügbar sind, und einem Katalog kritischer Anwendungslaufzeiten, der die Ökosysteme Java, Node und Python abdeckt, stattet dieser Service Kunden mit unternehmensgerechten vertrauenswürdigen Inhalten aus.

Darüber hinaus bietet es wertvolle Einblicke in die Open-Source-Pakete, die in den Kundenanwendungen verwendet werden, und vermittelt den Unternehmen Wissen über die Komponenten, auf die sie angewiesen sind.

 

Red Hat Trusted Application Pipeline

Red Hat Trusted Application Pipeline basiert auf Red Hats umfangreichen Bemühungen, sigstore zu entwickeln, einzuführen und aufrechtzuerhalten - einen offenen und frei zugänglichen Standard für sicheres Signieren in Cloud-nativen Umgebungen. Darüber hinaus trägt sigstore wichtige Komponenten zu verschiedenen Upstream-Communities bei und bildet eine gemeinsame Sicherheitsinfrastruktur. Mit Trusted Application Pipeline erhalten Kunden Zugang zu einem sicherheitsorientierten Continuous Integration/Continuous Delivery (CI/CD) Service. Dieser Service erleichtert die Übernahme der Verfahren, Tools und Kenntnisse, die Red Hat zur Erstellung seiner Produktionssoftware einsetzt.

 

Wie erhöhen diese Dienste die Sicherheit?

Unter Verwendung der internen Best Practices von Red Hat bietet Red Hat Trusted Content Zugang zu Open-Source-Software-Inhalten, die von Red Hat erstellt und kuratiert wurden und deren Herkunft und Bescheinigung bestätigt wurde. Der Dienst überwacht aktiv die Open-Source-Abhängigkeiten der Kunden, nachdem eine Anwendung in Produktion ist, und benachrichtigt sie über bekannte neue und aufkommende Gefahren. Auf diese Weise können die Benutzer schneller auf neue Bedrohungen reagieren.

Die Red Hat Trusted Application Pipeline ist derzeit als Service Preview verfügbar. Diese integrierte Continuous-Integration/Continuous-Delivery-Pipeline (CI/CD) spielt eine entscheidende Rolle bei der Verbesserung der Sicherheit von Anwendungssoftware-Lieferketten. Mit nur wenigen Klicks können Anwender Anwendungen effizient erstellen, nahtlos in Linux-Container integrieren und mühelos auf Red Hat OpenShift oder anderen Kubernetes-Plattformen bereitstellen.

Früher war dieser Prozess oft sehr manuell und erforderte umfangreiche Zeilen an Automatisierungscode für das Erstellen, Testen und Bereitstellen von containerisierten Anwendungen. Solche manuellen Prozesse schufen zusätzliche Risikopunkte und verlangsamten die Gesamtgeschwindigkeit, da sie die Möglichkeit von Reibungen und menschlichen Fehlern einführten.

 

Red Hat Trusted Application Pipeline-Funktionen

  • Importieren Sie Git-Repositories und richten Sie mühelos Container-native Continuous-Build-, Test- und Deployment-Pipelines über einen Cloud-Service ein - in nur wenigen einfachen Schritten.
  • Überprüfung des Quellcodes und der transitiven Abhängigkeiten.
  • Automatische Erstellung von Software-Stücklisten (SBOMs ) als Teil des Build-Prozesses.
  • Verwendung einer Engine für Freigabekriterien, um Container-Images zu prüfen und zu fördern. Diese Engine umfasst branchenübliche Frameworks wie Supply Chain Levels for Software Artifacts (SLSA).

 

Schlussfolgerung

Die umfassende Suite von Software und Dienstleistungen, die über die Red Hat Trusted Software Supply Chain angeboten wird, verbessert die Fähigkeit einer Organisation, Schwachstellen während des gesamten Lebenszyklus der modernen Softwareentwicklung zu widerstehen, erheblich. Red Hat Trusted Content wird in Kürze als Service-Preview verfügbar sein und Entwicklern einen Echtzeit-Einblick in bekannte Schwachstellen und Sicherheitsrisiken innerhalb ihrer Open-Source-Software-Abhängigkeiten ermöglichen. Dieser Service wird auch potenzielle Maßnahmen zur Risikoreduzierung empfehlen, die dazu beitragen, die Entwicklungszeit zu verkürzen und die Kosten zu senken.

 

Dieser Artikel enthält einen Bericht von Red Hat.

Zusammenfassung
Red Hat verbessert die Sicherheit der Software-Lieferkette
Artikel Name
Red Hat verbessert die Sicherheit der Software-Lieferkette
Beschreibung
Red Hat hat die Red Hat Trusted Software Supply Chain eingeführt, die den Schutz vor Sicherheitslücken in der Software-Lieferkette erhöht.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter