Red Hat, leveran­cier van open source-oplos­singen, kondigt updates aan voor Red Hat Trusted Software Supply Chain. De nieuwe oplos­singen versterken het vermogen van klanten om security in te bakken in het softwa­re­ont­wik­ke­lings­proces, zodat ze de veilig­heid eerder in de supply chain kunnen borgen en kunnen voldoen aan regel­ge­ving en compliance-standaarden.

Volgens analy­se­bu­reau IDC zal tegen 2027 driekwart van de CIO’s securi­ty­maat­re­gelen direct in systemen en processen integreren om proac­tief kwets­baar­heden te verhelpen. In een verschui­ving van reactieve naar proac­tieve strategie, integreren organi­sa­ties steeds vaker veilig­heids­pro­to­collen direct in hun softwa­re­pro­cessen om breuken te voorkomen. 

Red Hat Trusted Software Supply Chain levert software en diensten die de weerbaar­heid tegen kwets­baar­heden van deze organi­sa­ties verhoogt, zodat poten­tiële problemen vroeg­tijdig kunnen worden geïden­ti­fi­ceerd en gemiti­geerd voordat ze kunnen worden uitgebuit.

1. Red Hat Trusted Artifact Signer

Red Hat Trusted Artifact Signer is gebaseerd op het open source Sigstore-project dat is opgericht bij Red Hat en nu onder­deel is van de Open Source Security Founda­tion. Deze oplos­sing stelt ontwik­ke­laars en belang­heb­benden in staat om artefacten crypto­gra­fisch te onder­te­kenen en te verifi­ëren met behulp van een sleutel­loos certi­fi­caat. Dankzij deze identi­teits­ge­ba­seerde onder­te­ke­ning via een integratie met OpenID Connect kunnen organi­sa­ties met vertrouwen de authen­ti­ci­teit en integri­teit van hun software supply chain garan­deren, zonder de overhead en admini­stra­tieve last van een gecen­tra­li­seerd sleutelbeheersysteem.

2. Red Hat Trusted Profile Analyzer

Devel­op­ment- en securi­ty­teams hebben inzicht nodig in het risico­pro­fiel van de appli­ca­tie­code, zodat dreigingen en kwets­baar­heden proac­tief kunnen worden geïden­ti­fi­ceerd en gemini­ma­li­seerd. Red Hat Trusted Profile Analyzer vereen­vou­digt het beheer van kwets­baar­heden door een basis te bieden voor securi­ty­do­cu­men­tatie, inclu­sief de Software Bill of Materials (SBOM) en Vulne­ra­bi­lity Exploi­ta­bi­lity Exchange (VEX). Organi­sa­ties kunnen hiermee de samen­stel­ling van software-assets beheren en analy­seren, net als de documen­tatie van maatwerk software, software van derden en open-source software, zonder de ontwik­ke­ling te vertragen of de opera­ti­o­nele complexi­teit te verhogen.

3. Red Hat Trusted Application Pipeline

Red Hat Trusted Appli­ca­tion Pipeline combi­neert de kracht van Red Hat Trusted Profile Analyzer en Red Hat Trusted Artifact Signer met het devel­op­ment platform Red Hat Devel­oper Hub. Die combi­natie biedt nieuwe mogelijk­heden om de security van de software supply chain te versterken.  Deze zijn geïnte­greerd in kant-en-klare templates voor ontwik­ke­laars. Red Hat Trusted Appli­ca­tion Pipeline bestaat uit een centrale hub met gevali­deerde softwa­retem­plates en geïnte­greerde guard­rails, waarmee ontwik­ke­laars effici­ënter best practices kunnen toepassen voor meer vertrouwen en trans­pa­rantie tijdens het coderen.

Organi­sa­ties kunnen de nieuwe oplos­singen inzetten voor handha­ving van compli­ance in de software pipeline en het vergroten van het audit­gemak van het CI/CD-proces. Wanneer ook vulne­ra­bi­lity scanning en checks op beleid met behulp van enter­prise contracten in de CI/CD-pipeline worden ingebed, kan verdachte code in de ontwik­kelom­ge­ving worden geblok­keerd nog voordat deze naar de produc­tie­om­ge­ving gaat.

Deze oplos­singen zijn beschik­baar voor zelfbe­heer in on-premises omgevingen en kunnen worden toege­voegd aan appli­ca­tie­plat­forms zoals Red Hat OpenS­hift óf apart worden ingezet, zodat ontwik­ke­laars de flexi­bi­li­teit en keuze­vrij­heid hebben om aan hun speci­fieke behoeften te voldoen.

Sarwar Raza, vice presi­dent en general manager van de Appli­ca­tion Devel­oper Business Unit bij Red Hat: “Organi­sa­ties willen de voort­du­rend veran­de­rende beveiligingsrisico’s in hun softwa­re­ont­wik­ke­ling beperken om het vertrouwen van gebrui­kers, klanten en partners te behouden en te vergroten. Red Hat Trusted Software Supply Chain is ontworpen om security naadloos te integreren in iedere fase van softwa­re­ont­wik­ke­ling. Van codering tot runtime helpen deze tools om de trans­pa­rantie en het vertrouwen te vergroten. Daarnaast stellen ze DevSecOps-teams in staat om de basis te leggen voor een veili­gere organi­satie zonder negatieve impact op de snelheid van ontwik­ke­laars en hun cogni­tieve belasting.

Beschikbaarheid

Red Hat Trusted Artifact Signer en Red Hat Trusted Appli­ca­tion Pipeline zijn algemeen beschik­baar. Red Hat Trusted Profile Analyzer is beschik­baar in preview – algemene beschik­baar­heid wordt later dit kwartaal verwacht. Ga naar red​.ht/​a​s​s​ured of het Red Hat Customer Portal voor meer informatie.