ClickCease Red Hat améliore la sécurité de la chaîne d'approvisionnement en logiciels

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Red Hat améliore la sécurité de la chaîne d'approvisionnement en logiciels

Rohan Timalsina

Le 7 juin 2023 - L'équipe d'experts de TuxCare

Red Hat a présenté une solution appelée Red Hat Trusted Software Supply Chain qui augmente la résistance aux vulnérabilités dans la chaîne d'approvisionnement des logiciels.

Cette innovation introduit deux nouveaux services en nuage : Red Hat Trusted Application Pipeline et Red Hat Trusted Content. Ces deux services rejoignent la suite existante de logiciels et de services cloud de Red Hat, notamment Quary et Advanced Cluster Security (ACS), afin de favoriser l'adoption des pratiques DevSecOps et d'intégrer la sécurité tout au long du cycle de développement des logiciels.

 

La sécurité de la chaîne d'approvisionnement est importante

Aujourd'hui, les acteurs malveillants ont rapidement tourné leur attention vers la chaîne d'approvisionnement des logiciels, qu'ils considèrent comme une cible privilégiée pour leurs activités. Ces attaques ciblées se concentrent sur l'exploitation des composants logiciels fondamentaux dans le but d'orchestrer des conséquences dévastatrices telles que des violations de données, des interruptions de service et d'autres conséquences graves.

Étant donné le rôle critique des logiciels dans la conduite des opérations commerciales quotidiennes, assurer la sécurité de la chaîne d'approvisionnement en logiciels devient une responsabilité essentielle pour chaque organisation et ses équipes de sécurité.

 

Chaîne d'approvisionnement en logiciels de confiance de Red Hat

Les clients peuvent coder, construire et contrôler leurs logiciels plus rapidement et plus efficacement avec Red Hat Trusted Software Supply Chain en utilisant des plates-formes fiables, un contenu fiable et une analyse de sécurité en temps réel ainsi que des mesures correctives.

Étant donné que le code source ouvert constitue désormais 75 % des bases de code des applications, ces composants font l'objet d'un examen plus approfondi. Cela est particulièrement important si l'on considère la hausse alarmante de 742 % des attaques contre la chaîne d'approvisionnement des logiciels depuis 2020. Par conséquent, les clients recherchent activement des moyens d'intégrer des garde-fous dans leur chaîne d'approvisionnement en logiciels et leurs cycles de développement, ce qui leur permet d'accélérer l'innovation tout en respectant les normes de sécurité.

 

Contenu de confiance Red Hat

L'un des éléments importants est Red Hat Trusted Content, qui s'appuie sur une base de logiciels de systèmes à sécurité renforcée. Avec des milliers de paquets de confiance disponibles uniquement dans Red Hat Enterprise Linux et un catalogue d'applications critiques couvrant les écosystèmes Java, Node et Python, ce service dote les clients d'un contenu de confiance renforcé pour l'entreprise.

En outre, il fournit des informations précieuses sur les logiciels libres utilisés dans les applications des clients, ce qui permet aux organisations de connaître les composants dont elles dépendent.

 

Red Hat Trusted Application Pipeline

Red Hat Trusted Application Pipeline est ancré dans les efforts considérables de Red Hat pour développer, introduire et soutenir sigstore, une norme ouverte et librement accessible pour la signature sécurisée dans les environnements cloud-native. En outre, sigstore apporte des composants essentiels à diverses communautés en amont, formant ainsi une infrastructure de sécurité partagée. Avec Trusted Application Pipeline, les clients ont accès à un service d'intégration continue et de livraison continue (CI/CD) axé sur la sécurité. Ce service facilite l'adoption des procédures, des outils et des connaissances que Red Hat utilise pour créer ses logiciels de production.

 

Comment ces services renforcent-ils la sécurité ?

S'appuyant sur les meilleures pratiques internes de Red Hat, Red Hat Trusted Content offre un accès au contenu des logiciels libres qui ont été produits et sélectionnés par Red Hat avec provenance et attestation. Le service surveille activement les dépendances open-source des clients après la mise en production d'une application et les informe des dangers nouveaux et émergents connus. Les utilisateurs peuvent ainsi réagir plus rapidement aux menaces émergentes.

Quant à Red Hat Trusted Application Pipeline, il est actuellement disponible en tant que service preview. Ce pipeline intégré d'intégration continue et de livraison continue (CI/CD) joue un rôle central dans le renforcement de la sécurité des chaînes d'approvisionnement en logiciels d'application. En quelques clics, les utilisateurs peuvent créer efficacement des applications, les intégrer de manière transparente dans des conteneurs Linux et les déployer sans effort sur Red Hat OpenShift ou d'autres plateformes Kubernetes.

Auparavant, ce processus était souvent très manuel, nécessitant de nombreuses lignes de code d'automatisation pour construire, tester et déployer des applications conteneurisées. Ces processus manuels créaient des points de risque supplémentaires et ralentissaient la vitesse globale en introduisant la possibilité de frictions et d'erreurs humaines.

 

Fonctionnalités de Red Hat Trusted Application Pipeline

  • Importez des dépôts Git et mettez en place sans effort des pipelines de construction, de test et de déploiement continus en mode conteneur-natif à l'aide d'un service en nuage en quelques étapes simples.
  • Inspection du code source et des dépendances transitives.
  • Générer automatiquement des nomenclatures logicielles (SBOM) dans le cadre du processus de construction.
  • Utiliser un moteur de politique de critères de publication pour vérifier et promouvoir les images de conteneurs. Ce moteur intègre des cadres industriels tels que les niveaux de la chaîne d'approvisionnement pour les artefacts logiciels (SLSA).

 

Conclusion

La suite complète de logiciels et de services offerts par Red Hat Trusted Software Supply Chain améliore considérablement la capacité d'une organisation à résister aux vulnérabilités tout au long du cycle de vie du développement de logiciels modernes. Red Hat Trusted Content sera bientôt disponible en tant que service en avant-première, permettant aux développeurs d'avoir une vision en temps réel des vulnérabilités connues et des risques de sécurité au sein de leurs dépendances logicielles open-source. Ce service recommandera également des mesures potentielles de réduction des risques, ce qui contribuera à raccourcir le temps de développement et à réduire les coûts.

 

Cet article comprend un article de Red Hat.

Résumé
Red Hat améliore la sécurité de la chaîne d'approvisionnement en logiciels
Nom de l'article
Red Hat améliore la sécurité de la chaîne d'approvisionnement en logiciels
Description
Red Hat a introduit Red Hat Trusted Software Supply Chain qui augmente la résistance aux vulnérabilités dans la chaîne d'approvisionnement des logiciels.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information