全新的红帽可信软件供应链服务可帮助开发人员采用安全设计方法来构建、部署和监控软件。
国外媒体报道,为了帮助开发人员安全地构建和部署依赖于开源组件的应用,红帽推出了该公司几十年来用于构建、监控和部署自己的软件的安全设计手册。该公司本周在波士顿举行的红帽峰会期间推出了红帽可信软件供应链,该供应链由四种服务组成,基于公司内部使用的编程工具和方法。
对软件供应链安全的关注反映了两个趋势:组织接受向主要使用开源组件构建的云原生应用程序的转变,以及针对这些组件中漏洞的网络攻击越来越多。美国联邦政府正在推动组织实施安全设计和安全默认软件开发流程。网络安全与基础设施安全局(CISA),国家安全局(NSA)和联邦调查局与全球同行一起发布了上个月发布的安全设计以及默认原则和方法指南。
“信任红帽与开源供应链的安全性基本上是我们过去 30 年来为客户提供的服务的延续,”红帽云服务总经理 Sarwar Raza 说。“我们已经采用了这种能力,以及我们内部使用的 CI/CD 功能,我们现在正在向客户提供我们的流程、技术和专业知识,以便您可以像我们一样保护和构建您的软件。”
红帽四大核心服务预览
在红帽可信软件供应链中的四项服务中,有两项(红帽可信应用管道和红帽可信内容)作为预览版提供。第三个是红帽高级集群安全云服务,是一项托管服务,用于安全地构建、部署和维护基于 Kubernetes 的云原生应用安全性。最后,Quay是CoreOS在2014年收购的企业注册管理机构,红帽在2018年收购CoreOS后接管了它。
Raza说,该产品仅在Red Hat Enterprise Linux中就包括数千个可信软件包,以及跨Java,Node和Python的关键应用程序运行时目录。“该服务不仅提供强化的、可信的内容,我们还提供知识,”他说。
红帽可信应用可以利用这些知识自动生成软件物料清单 (SBOM)。“作为客户,你可以拿这些工件,证明这些软件包的安全性,并将其呈现给审计员或监管机构,然后满足他们的要求,”Raza说。
红帽可信应用管道建立在 sigstore 之上,sigstore 是红帽发起的一个开源项目,后来移交给了 Linux 基金会;SIGStore 现在是云原生安全签名的免费标准。应用程序管道处理开发过程的多个阶段。
在编码阶段,红帽提供了一个开发人员插件,用于执行软件组合分析 (SCA),其中包括分析依赖关系和警告所有漏洞,将开发人员指向替代组件。在构建阶段,红帽应用管道会生成一个企业合同,并将其馈送到系统中。
“这基本上设定了护栏和将要执行的标准,”拉扎说。
自动生成 SBOM
红帽可信管道还会为每个构建自动生成软件物料清单 (SBOM)。
SBOM、漏洞信息以及有关这些软件包的信息是产品的重要组成部分,“Raza说。“因此,作为客户,您可以获取工件,证明这些软件包的安全性,将其呈现给审计员或监管机构,然后满足他们的要求。
“对于许多公司来说,这是一个很好的起点,能够以安全的方式构建自己的产品,”IDC分析师Al Gillen说。“但他们仍然必须分销自己的产品,他们的分销渠道是其他人的独立供应链。
鉴于红帽在开源基础设施市场的突出地位,其产品有望吸引那些在红帽企业Linux(RHEL)和OpenShift上构建的人的广泛生态系统,但它也不需要。它还可能对Black Duck(现在的Synopsis),Mend和Snyk等公司的SCA产品提供商造成破坏。
“红帽提供的是一个精选的OSS组件存储库,OpenShift客户在构建应用程序时可以利用这些组件,”Omdia分析师Rik Turner说。“这对他们来说肯定是有价值的,甚至可能避免使用SCA平台来检查他们在自己的代码中嵌入的内容。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
