Red Hat, leverancier van open source-oplossingen, kondigt updates aan voor Red Hat Trusted Software Supply Chain. De nieuwe oplossingen versterken het vermogen van klanten om security in te bakken in het softwareontwikkelingsproces, zodat ze de veiligheid eerder in de supply chain kunnen borgen en kunnen voldoen aan regelgeving en compliance-standaarden.
Volgens analysebureau IDC zal tegen 2027 driekwart van de CIO’s securitymaatregelen direct in systemen en processen integreren om proactief kwetsbaarheden te verhelpen. In een verschuiving van reactieve naar proactieve strategie, integreren organisaties steeds vaker veiligheidsprotocollen direct in hun softwareprocessen om breuken te voorkomen.
Red Hat Trusted Software Supply Chain levert software en diensten die de weerbaarheid tegen kwetsbaarheden van deze organisaties verhoogt, zodat potentiële problemen vroegtijdig kunnen worden geïdentificeerd en gemitigeerd voordat ze kunnen worden uitgebuit.
1. Red Hat Trusted Artifact Signer
Red Hat Trusted Artifact Signer is gebaseerd op het open source Sigstore-project dat is opgericht bij Red Hat en nu onderdeel is van de Open Source Security Foundation. Deze oplossing stelt ontwikkelaars en belanghebbenden in staat om artefacten cryptografisch te ondertekenen en te verifiëren met behulp van een sleutelloos certificaat. Dankzij deze identiteitsgebaseerde ondertekening via een integratie met OpenID Connect kunnen organisaties met vertrouwen de authenticiteit en integriteit van hun software supply chain garanderen, zonder de overhead en administratieve last van een gecentraliseerd sleutelbeheersysteem.
2. Red Hat Trusted Profile Analyzer
Development- en securityteams hebben inzicht nodig in het risicoprofiel van de applicatiecode, zodat dreigingen en kwetsbaarheden proactief kunnen worden geïdentificeerd en geminimaliseerd. Red Hat Trusted Profile Analyzer vereenvoudigt het beheer van kwetsbaarheden door een basis te bieden voor securitydocumentatie, inclusief de Software Bill of Materials (SBOM) en Vulnerability Exploitability Exchange (VEX). Organisaties kunnen hiermee de samenstelling van software-assets beheren en analyseren, net als de documentatie van maatwerk software, software van derden en open-source software, zonder de ontwikkeling te vertragen of de operationele complexiteit te verhogen.
3. Red Hat Trusted Application Pipeline
Red Hat Trusted Application Pipeline combineert de kracht van Red Hat Trusted Profile Analyzer en Red Hat Trusted Artifact Signer met het development platform Red Hat Developer Hub. Die combinatie biedt nieuwe mogelijkheden om de security van de software supply chain te versterken. Deze zijn geïntegreerd in kant-en-klare templates voor ontwikkelaars. Red Hat Trusted Application Pipeline bestaat uit een centrale hub met gevalideerde softwaretemplates en geïntegreerde guardrails, waarmee ontwikkelaars efficiënter best practices kunnen toepassen voor meer vertrouwen en transparantie tijdens het coderen.
Organisaties kunnen de nieuwe oplossingen inzetten voor handhaving van compliance in de software pipeline en het vergroten van het auditgemak van het CI/CD-proces. Wanneer ook vulnerability scanning en checks op beleid met behulp van enterprise contracten in de CI/CD-pipeline worden ingebed, kan verdachte code in de ontwikkelomgeving worden geblokkeerd nog voordat deze naar de productieomgeving gaat.
Deze oplossingen zijn beschikbaar voor zelfbeheer in on-premises omgevingen en kunnen worden toegevoegd aan applicatieplatforms zoals Red Hat OpenShift óf apart worden ingezet, zodat ontwikkelaars de flexibiliteit en keuzevrijheid hebben om aan hun specifieke behoeften te voldoen.
Sarwar Raza, vice president en general manager van de Application Developer Business Unit bij Red Hat: “Organisaties willen de voortdurend veranderende beveiligingsrisico’s in hun softwareontwikkeling beperken om het vertrouwen van gebruikers, klanten en partners te behouden en te vergroten. Red Hat Trusted Software Supply Chain is ontworpen om security naadloos te integreren in iedere fase van softwareontwikkeling. Van codering tot runtime helpen deze tools om de transparantie en het vertrouwen te vergroten. Daarnaast stellen ze DevSecOps-teams in staat om de basis te leggen voor een veiligere organisatie zonder negatieve impact op de snelheid van ontwikkelaars en hun cognitieve belasting.
Beschikbaarheid
Red Hat Trusted Artifact Signer en Red Hat Trusted Application Pipeline zijn algemeen beschikbaar. Red Hat Trusted Profile Analyzer is beschikbaar in preview – algemene beschikbaarheid wordt later dit kwartaal verwacht. Ga naar red.ht/assured of het Red Hat Customer Portal voor meer informatie.
