Red Hat, Inc. heeft Red Hat Trusted Software Supply Chain aangekondigd, een oplossing die de weerbaarheid tegen kwetsbaarheden in de softwareketen vergroot. Als onderdeel van deze oplossing voegen twee nieuwe clouddiensten, Red Hat Trusted Application Pipeline en Red Hat Trusted Content, zich in previewmodus bij de bestaande software- en clouddiensten van Red Hat, waaronder Quay en Advanced Cluster Security (ACS), om de succesvolle invoering van DevSecOps-praktijken te bevorderen en beveiliging in te bedden in de levenscyclus van softwareontwikkeling. Met Red Hat Trusted Software Supply Chain kunnen klanten hun software sneller en efficiënter coderen, bouwen en controleren met behulp van bewezen platforms, vertrouwde content en realtime beveiligingsscans en -herstel.

De oplossing bouwt voort op Red Hat's meer dan 30 jaar vertrouwen van klanten en de industrie, verdiend door het consequent leveren van geharde open source-oplossingen die het voor bedrijven gemakkelijker maken om hybride clouds sneller in te voeren en toch een effectieve IT-beveiligingshouding te behouden. De software en diensten die worden geleverd als onderdeel van de Red Hat Trusted Software Supply Chain vergroten de weerbaarheid van een organisatie tegen kwetsbaarheden gedurende de hele moderne softwareontwikkelingscyclus. Red Hat Trusted Content bouwt voort op een fundament van beveiligde systeemsoftware, met alleen al in Red Hat Enterprise Linux duizenden vertrouwde pakketten en een catalogus van kritieke applicatieruntimes in de ecosystemen Java, Node en Python. De dienst biedt klanten enterprise-hardened trusted content en kennis over de open-source pakketten in applicaties van klanten.

De basis voor Red Hat Trusted Application Pipeline komt voort uit Red Hat's fundamentele werk bij het creëren, lanceren en onderhouden van sigstore, dat een vrij beschikbare standaard biedt voor cloud-native veilig ondertekenen, en tevens kritieke stukken gedeelde beveiligingsinfrastructuur levert aan vele upstream gemeenschappen. Trusted Application Pipeline biedt een beveiligingsgerichte Continuous Integration/Continuous Delivery (CI/CD)-dienst die de overname van de processen, technologieën en expertise die Red Hat gebruikt om productiesoftware te bouwen, vereenvoudigt. Red Hat Trusted Content is in de komende weken beschikbaar als preview van de dienst en biedt ontwikkelaars real-time kennis van bekende kwetsbaarheden en beveiligingsrisico's binnen hun open source software-afhankelijkheden.

De dienst stelt ook beschikbare oplossingen voor om de risico's te minimaliseren, waardoor de ontwikkelingstijd en -kosten worden beperkt. Red Hat Trusted Content biedt toegang tot door Red Hat gemaakte en gecureerde inhoud van open source software, met provenance en attestatie, op basis van de interne best practices van Red Hat. Zodra een applicatie in productie is, bewaakt de dienst proactief en waarschuwt gebruikers voor bekende nieuwe en opkomende risico's in hun open source afhankelijkheden, zodat opkomende bedreigingen sneller kunnen worden verholpen.

Red Hat Trusted Application Pipeline, beschikbaar als servicepreview op 23 mei 2023, helpt klanten de beveiliging van de toeleveringsketen van applicatiesoftware te verbeteren met een geïntegreerde CI/CD-pijplijn. Applicaties kunnen effectiever worden gebouwd en eenvoudiger worden geïntegreerd in Linux-containers en vervolgens met slechts een paar klikken worden ingezet op Red Hat OpenShift of andere Kubernetes-platforms. Voorheen was dit vaak een zeer handmatig proces, waarbij honderden regels automatiseringscode nodig waren voor het bouwen, testen en inzetten van gecontaineriseerde applicaties.

Dit handmatige proces introduceert het potentieel voor wrijving en menselijke fouten, waardoor nieuwe risicopunten worden toegevoegd en de algehele snelheid wordt vertraagd. Met Red Hat Trusted Application Pipeline kunnen klanten van Red Hat: Git-repositories importeren en container-native continuous build, test en deployment pipelines configureren via een cloudservice in slechts enkele stappen; broncode en transitieve afhankelijkheden inspecteren; automatisch Software Bills of Materials (SBOM) genereren binnen builds; en container images verifiëren en promoten via een release criteria policy engine die helpt bij het bevestigen van consistentie met industriële frameworks zoals Supply chain Levels for Software Artifacts (SLSA).