ClickCease 소프트웨어 공급망 보안을 개선한 Red Hat

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

소프트웨어 공급망 보안을 개선한 Red Hat

로한 티말시나

2023년 6월 7일 TuxCare 전문가 팀

레드햇은 소프트웨어 공급망의 취약성에 대한 저항력을 높이는 레드햇 트러스티드 소프트웨어 공급망이라는 솔루션을 도입했습니다.

이 혁신에는 두 가지 새로운 클라우드 서비스가 도입되었습니다: 레드햇 트러스티드 애플리케이션 파이프라인과 레드햇 트러스티드 콘텐츠입니다. 이 두 가지 서비스는 Quary 및 고급 클러스터 보안(ACS)을 포함한 기존 레드햇 소프트웨어 및 클라우드 서비스 제품군에 합류하여 데브섹옵스 관행의 성공적인 도입을 촉진하고 소프트웨어 개발 라이프사이클 전반에 걸쳐 보안을 통합합니다.

 

공급망 보안의 중요성

오늘날 악의적인 공격자들은 소프트웨어 공급망을 공격의 주요 표적으로 인식하고 빠르게 관심을 돌리고 있습니다. 이러한 표적 공격은 데이터 유출, 서비스 중단 및 기타 심각한 결과와 같은 파괴적인 결과를 조율할 목적으로 기본 소프트웨어 구성 요소를 악용하는 데 중점을 둡니다.

일상적인 비즈니스 운영에서 소프트웨어의 중요한 역할을 고려할 때 소프트웨어 공급망의 보안을 보장하는 것은 모든 조직과 보안 팀에게 필수적인 책임이 되었습니다.

 

레드햇 신뢰할 수 있는 소프트웨어 공급망

고객은 신뢰할 수 있는 플랫폼, 신뢰할 수 있는 콘텐츠, 실시간 보안 스캔 및 수정 기능을 활용하여 레드햇 트러스티드 소프트웨어 공급망을 통해 소프트웨어를 보다 빠르고 효과적으로 코딩, 빌드 및 모니터링할 수 있습니다.

오픈 소스 코드가 애플리케이션 코드 베이스의 75%를 차지함에 따라 이러한 구성 요소를 더욱 면밀히 조사하고 있습니다. 이는 2020년 이후 소프트웨어 공급망 공격이 742%나 급증한 것을 고려할 때 특히 중요합니다. 따라서 고객들은 소프트웨어 공급망과 개발 수명 주기에 가드레일을 통합하여 보안 표준을 유지하면서 혁신 속도를 높일 수 있는 방법을 적극적으로 모색하고 있습니다.

 

레드햇 신뢰할 수 있는 콘텐츠

중요한 구성 요소 중 하나는 보안이 강화된 시스템 소프트웨어의 토대 위에 구축되는 Red Hat Trusted Content입니다. 이 서비스는 레드햇 엔터프라이즈 리눅스에서만 제공되는 수천 개의 신뢰할 수 있는 패키지와 Java, 노드, 파이썬 에코시스템을 아우르는 중요한 애플리케이션 런타임 카탈로그를 통해 고객에게 엔터프라이즈급으로 강화된 신뢰할 수 있는 콘텐츠를 제공합니다.

또한 고객 애플리케이션에서 활용되는 오픈 소스 패키지에 대한 귀중한 인사이트를 제공하여 조직이 의존하는 구성 요소에 대한 지식을 갖출 수 있도록 지원합니다.

 

레드햇 신뢰할 수 있는 애플리케이션 파이프라인

레드햇 트러스티드 애플리케이션 파이프라인은 클라우드 네이티브 환경에서 보안 서명을 위한 개방적이고 자유롭게 액세스할 수 있는 표준인 시그스토어를 개발, 도입 및 유지하려는 레드햇의 광범위한 노력에 뿌리를 두고 있습니다. 이 외에도 시그스토어는 다양한 업스트림 커뮤니티에 중요한 구성 요소를 제공하여 공유 보안 인프라를 형성합니다. 신뢰할 수 있는 애플리케이션 파이프라인을 통해 고객은 보안에 중점을 둔 지속적 통합/지속적 배포(CI/CD) 서비스에 액세스할 수 있습니다. 이 서비스를 통해 Red Hat이 프로덕션 소프트웨어를 만드는 데 사용하는 절차, 도구 및 지식을 더 쉽게 채택할 수 있습니다.

 

이러한 서비스는 어떻게 보안을 강화하나요?

레드햇 트러스티드 콘텐츠는 레드햇의 내부 모범 사례를 사용하여 레드햇이 출처와 증명을 통해 제작하고 큐레이션한 오픈 소스 소프트웨어 콘텐츠에 대한 액세스를 제공합니다. 이 서비스는 애플리케이션이 프로덕션에 들어간 후 고객의 오픈 소스 종속성을 적극적으로 모니터링하고 알려진 새롭고 새로운 위험에 대해 알려줍니다. 그 결과 사용자는 새로운 위협에 더 빠르게 대응할 수 있습니다.

Red Hat Trusted 애플리케이션 파이프라인의 경우 현재 서비스 미리 보기로 제공됩니다. 이 통합된 지속적 통합/지속적 제공(CI/CD) 파이프라인은 애플리케이션 소프트웨어 공급망의 보안을 강화하는 데 중추적인 역할을 합니다. 사용자는 단 몇 번의 클릭만으로 애플리케이션을 효율적으로 빌드하고, Linux 컨테이너에 원활하게 통합하고, Red Hat OpenShift 또는 기타 Kubernetes 플랫폼에 손쉽게 배포할 수 있습니다.

이전에는 컨테이너화된 애플리케이션을 빌드, 테스트 및 배포하기 위해 광범위한 자동화 코드가 필요했기 때문에 이 프로세스는 대부분 수작업으로 이루어졌습니다. 이러한 수동 프로세스는 추가적인 위험 요소를 발생시키고 마찰과 인적 오류의 가능성을 도입하여 전반적인 속도를 저하시켰습니다.

 

레드햇 트러스티드 애플리케이션 파이프라인 기능

  • 몇 가지 간단한 단계만으로 클라우드 서비스를 사용하여 Git 리포지토리를 가져오고 컨테이너 네이티브 연속 빌드, 테스트 및 배포 파이프라인을 손쉽게 설정할 수 있습니다.
  • 소스 코드 및 전이 종속성 검사.
  • 빌드 프로세스의 일부로 소프트웨어 자재 명세서(SBOM) 를 자동으로 생성합니다.
  • 릴리스 기준 정책 엔진을 활용하여 컨테이너 이미지를 확인하고 홍보하세요. 이 엔진에는 소프트웨어 아티팩트에 대한 공급망 수준(SLSA)과 같은 업계 프레임워크가 통합되어 있습니다.

 

결론

레드햇 트러스티드 소프트웨어 공급망을 통해 제공되는 포괄적인 소프트웨어 및 서비스 제품군은 최신 소프트웨어 개발 라이프사이클 전반에 걸쳐 취약성을 견딜 수 있는 조직의 역량을 크게 향상시킵니다. 레드햇 트러스티드 콘텐츠는 곧 서비스 미리 보기로 제공되어 개발자가 오픈 소스 소프트웨어 종속성 내에서 알려진 취약성 및 보안 위험에 대한 실시간 인사이트를 확보할 수 있도록 지원합니다. 또한 이 서비스는 잠재적인 위험 감소 조치를 추천하여 개발 시간을 단축하고 비용을 절감하는 데 도움이 될 것입니다.

 

이 기사에는 Red Hat의 이야기가 포함되어 있습니다.

요약
소프트웨어 공급망 보안을 개선한 Red Hat
기사 이름
소프트웨어 공급망 보안을 개선한 Red Hat
설명
레드햇은 소프트웨어 공급망의 취약성에 대한 저항력을 높이는 레드햇 트러스티드 소프트웨어 공급망을 도입했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기