技術支援
文件
登錄
聯繫我們
紅帽提高軟體供應鏈安全性
羅漢·蒂瑪律西納
實施期間: 2023年6月 7 日 - TuxCare專家團隊
紅帽推出了一種稱為紅帽可信軟體供應鏈的解決方案,可增強對 軟體供應鏈 中漏洞的抵抗力。
這項創新引入了兩項新的雲服務:紅帽可信 應用管道 和 紅帽可信內容。兩家公司都加入了現有的紅帽軟體和雲服務套件,包括Quary和高級集群安全(ACS),以推動DevSecOps實踐的成功採用,並在整個軟體開發生命週期中集成安全性。
供應鏈安全事項
如今,惡意行為者已迅速將注意力轉向軟體供應鏈,將其視為其活動的主要目標。這些有針對性的攻擊側重於利用基礎軟體元件,目的是協調破壞性後果,例如數據洩露、服務中斷和其他嚴重後果。
鑒於軟體在執行日常業務運營中的關鍵作用,確保軟體供應鏈的安全性成為每個組織及其安全團隊的基本責任。
紅帽可信軟體供應鏈
借助紅帽可信軟體供應鏈,客戶可以利用可靠的平臺、可信內容以及即時安全掃描和修復,更快、更有效地編碼、構建和監控其軟體。
由於開原始程式碼現在占 應用程式代碼庫的 75%,因此正在更仔細地檢查這些元件。考慮到 自 2020 年以來軟體供應鏈攻擊激增 742%,這一點尤其重要。因此,客戶正在積極尋求將護欄集成到其軟體供應鏈和開發生命週期中的方法,使他們能夠在堅持安全標準的同時加快創新。
紅帽可信內容
紅帽可信內容是一個重要元件,它建立在安全增強型系統軟體的基礎上。憑藉僅在紅帽企業 Linux 中提供的數千個可信軟體包,以及跨越 Java、Node 和 Python 生態系統的關鍵應用運行時目錄,該服務為客戶提供企業強化的可信內容。
此外,它還提供了對客戶應用程式中使用的 開源包 的寶貴見解,使組織能夠了解他們所依賴的元件。
紅帽可信應用管道
紅帽可信應用管道植根於紅帽在開發、引入和維護 sigstore 方面的廣泛努力,sigstore是一種開放且可自由訪問的雲原生環境中安全簽名標準。除此之外,sigstore還為各個上游社區貢獻了重要元件,形成了一個共用的安全基礎設施。借助可信的應用程式管道,客戶可以訪問以安全為中心的持續集成/持續交付 (CI/CD) 服務。這項服務可以更輕鬆地採用紅帽用於創建其生產軟體的過程、工具和知識。
這些服務如何增強安全性?
紅帽可信內容利用紅帽內部最佳實踐,提供對由紅帽製作和策劃的開源軟體內容的訪問,並附有出處和證明。該服務在應用程式投入生產後主動監視客戶的開源依賴項,並通知他們已知的新危險和正在出現的危險。因此,用戶可以更快地回應新出現的威脅。
至於紅帽可信應用管道,它目前以服務預覽版的形式提供。這種集成的持續集成/持續交付 (CI/CD) 管道在增強應用軟體供應鏈的安全性方面發揮著關鍵作用。只需點擊幾下,使用者就可以高效地構建應用程式,無縫集成到Linux容器中,並毫不費力地將其部署到紅帽 OpenShift 或其他 Kubernetes 平臺上。
以前,此過程通常是高度手動的,需要大量的自動化代碼來構建、測試和部署容器化應用程式。這種手動過程會產生額外的風險點,並通過引入摩擦和人為錯誤的可能性來減慢整體速度。
紅帽可信應用管道功能
- 導入 Git 儲存庫,只需幾個簡單的步驟,即可使用雲服務輕鬆設置容器原生持續生成、測試和部署管道。
- 檢查原始碼和傳遞依賴項。
- 自動生成 軟體物料清單 (SBOM) 作為構建過程的一部分。
- 利用發佈條件策略引擎來驗證和提升容器映像。該引擎包含行業框架,例如軟體工件的供應鏈級別 (SLSA)。
結論
紅帽可信軟體供應鏈提供的全面軟體和服務套件可顯著增強組織在整個現代軟體開發生命週期中抵禦漏洞的能力。紅帽可信內容即將作為服務預覽版提供,使開發人員能夠即時洞察其開源軟體依賴項中的已知漏洞和安全風險。該服務還將建議潛在的風險降低措施,這將有助於縮短開發時間並降低成本。
本文包括一個來自 紅帽的故事。
