Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Red Hat mejora la seguridad de la cadena de suministro de software
Rohan Timalsina
7 de junio de 2023 - Equipo de expertos TuxCare
Red Hat presentó una solución denominada Red Hat Trusted Software Supply Chain que aumenta la resistencia a las vulnerabilidades en la cadena de suministro de software.
Esta innovación introduce dos nuevos servicios de nube: Red Hat Trusted Application Pipeline y Red Hat Trusted Content. Ambos se unen a la suite existente de software y servicios en la nube de Red Hat, incluidos Quary y Advanced Cluster Security (ACS), para impulsar la adopción exitosa de prácticas DevSecOps e integrar la seguridad en todo el ciclo de vida de desarrollo de software.
La seguridad de la cadena de suministro es importante
Hoy en día, los actores maliciosos han dirigido rápidamente su atención a la cadena de suministro de software, reconociéndola como un objetivo primordial para sus actividades. Estos ataques selectivos se centran en explotar componentes de software fundamentales con el objetivo de orquestar consecuencias devastadoras, como fugas de datos, interrupciones del servicio y otras consecuencias graves.
Dado el papel fundamental del software en la realización de las operaciones empresariales diarias, garantizar la seguridad de la cadena de suministro de software se convierte en una responsabilidad esencial para cada organización y sus equipos de seguridad.
Cadena de suministro de software de confianza de Red Hat
Los clientes pueden codificar, crear y supervisar su software de forma más rápida y eficaz con Red Hat Trusted Software Supply Chain utilizando plataformas fiables, contenido de confianza y análisis y corrección de la seguridad en tiempo real.
Dado que el código de fuente abierta constituye ahora el 75 % de las bases de código de las aplicaciones, estos componentes están siendo examinados más de cerca. Esto es especialmente significativo si se tiene en cuenta el alarmante aumento del 742 % en los ataques a la cadena de suministro de software desde 2020. Por lo tanto, los clientes están buscando activamente formas de integrar los guardarraíles en su cadena de suministro de software y ciclos de vida de desarrollo, lo que les permite acelerar la innovación al tiempo que mantienen las normas de seguridad.
Contenido de confianza de Red Hat
Un componente importante es Red Hat Trusted Content, que se basa en una base de software de sistemas de seguridad mejorada. Con miles de paquetes de confianza disponibles únicamente en Red Hat Enterprise Linux y un catálogo de tiempos de ejecución de aplicaciones críticas que abarca los ecosistemas Java, Node y Python, este servicio equipa a los clientes con contenido de confianza reforzado para empresas.
Además, proporciona información valiosa sobre los paquetes de código abierto utilizados en las aplicaciones de los clientes, lo que permite a las organizaciones conocer los componentes de los que dependen.
Red Hat Trusted Application Pipeline
Red Hat Trusted Application Pipeline se basa en los amplios esfuerzos de Red Hat para desarrollar, introducir y mantener sigstore, un estándar abierto y de libre acceso para la firma segura en entornos nativos de la nube. Además, sigstore contribuye con componentes vitales a varias comunidades ascendentes, formando una infraestructura de seguridad compartida. Con Trusted Application Pipeline, los clientes obtienen acceso a un servicio de integración y entrega continuas (CI/CD) centrado en la seguridad. Este servicio facilita la adopción de los procedimientos, herramientas y conocimientos que Red Hat emplea para crear su software de producción.
¿Cómo mejoran la seguridad estos servicios?
Utilizando las mejores prácticas internas de Red Hat, Red Hat Trusted Content ofrece acceso a contenido de software de código abierto que ha sido producido y comisariado por Red Hat con procedencia y atestación. El servicio supervisa activamente las dependencias de código abierto de los clientes después de que una aplicación esté en producción y les notifica los peligros nuevos y emergentes conocidos. Como resultado, los usuarios pueden responder más rápidamente a las amenazas emergentes.
En cuanto a Red Hat Trusted Application Pipeline, actualmente está disponible como vista previa del servicio. Esta canalización integrada de integración continua/entrega continua (CI/CD) desempeña un papel fundamental en la mejora de la seguridad de las cadenas de suministro de software de aplicaciones. Con solo unos clics, los usuarios pueden crear aplicaciones de manera eficiente, integrarlas sin problemas en contenedores Linux e implementarlas sin esfuerzo en Red Hat OpenShift u otras plataformas Kubernetes.
Anteriormente, este proceso solía ser muy manual y requería extensas líneas de código de automatización para crear, probar y desplegar aplicaciones en contenedores. Estos procesos manuales creaban puntos de riesgo adicionales y ralentizaban la velocidad general al introducir la posibilidad de fricción y error humano.
Características de Red Hat Trusted Application Pipeline
- Importe repositorios Git y configure sin esfuerzo canalizaciones de creación, prueba y despliegue continuos nativos de contenedores mediante un servicio en la nube en tan solo unos pasos.
- Inspección del código fuente y de las dependencias transitivas.
- Genere automáticamente listas de materiales de software (SBOM ) como parte del proceso de creación.
- Utilizar un motor de políticas de criterios de lanzamiento para verificar y promover imágenes de contenedores. Este motor incorpora marcos del sector como los niveles de la cadena de suministro para artefactos de software (SLSA).
Conclusión
El completo conjunto de software y servicios ofrecidos a través de Red Hat Trusted Software Supply Chain mejora significativamente la capacidad de una organización para hacer frente a las vulnerabilidades a lo largo del ciclo de vida de desarrollo de software moderno. Red Hat Trusted Content estará disponible en breve como un servicio preliminar que permitirá a los desarrolladores conocer en tiempo real las vulnerabilidades conocidas y los riesgos de seguridad de sus dependencias de software de código abierto. Este servicio también recomendará posibles medidas de reducción de riesgos, lo que ayudará a acortar el tiempo de desarrollo y a reducir los costes.
Este artículo incluye una noticia de Red Hat.
