Novinka od Red Hatu chrání dodavatelský řetězec softwaru

19. 7. 2023. (redaktor: František Doupal, zdroj: Red Hat)
Řešení Red Hat Trusted Software Supply Chain zvyšuje odolnost vůči zranitelnostem v dodavatelském řetězci softwaru. Součástí jsou také cloudové služby Red Hat Trusted Application Pipeline a Red Hat Trusted Content, jejichž cílem je podpořit úspěšné zavádění postupů DevSecOps a začlenit bezpečnostní aspekty do životního cyklu vývoje softwaru.

Díky Red Hat Trusted Software Supply Chain mohou zákazníci rychleji a efektivněji vyvíjet, sestavovat a monitorovat svůj software s využitím osvědčených platforem, důvěryhodného obsahu a bezpečnostního skenování a odstraňování hrozeb v reálném čase.

Důvěryhodný dodavatelský řetězec softwaru

Vzhledem k tomu, že 75 % zdrojových kódů aplikací je nyní tvořeno otevřeným kódem, jsou tyto komponenty pod větším drobnohledem, zejména proto, že počet útoků na dodavatelský řetězec softwaru vzrostl od roku 2020 o 742 %. Zákazníci se tak snaží do svého dodavatelského řetězce softwaru a vývojových životních cyklů integrovat ochranné prvky, aby urychlili inovace bez ohrožení bezpečnosti.

Software a služby dodávané v Red Hat Trusted Software Supply Chain zvyšují odolnost organizace vůči zranitelnostem v celém životním cyklu moderního vývoje softwaru. Red Hat Trusted Content staví na základech systémového softwaru se zvýšeným zabezpečením, který jen v systému Red Hat Enterprise Linux obsahuje tisíce důvěryhodných balíčků a katalog kritických běhových prostředí aplikací v ekosystémech Java, NodeJS a Python. Služba poskytuje zákazníkům důvěryhodný obsah se zabezpečením na podnikové úrovni a znalosti o balíčcích s otevřeným zdrojovým kódem v zákaznických aplikacích.

Služba RedHat Trusted Application Pipeline vychází ze základů práce na vytváření, spouštění a údržbě služby Sigstore pro podepisování a ověřování kódu, která poskytuje volně dostupný standard pro bezpečné podepisování v cloudu a zároveň i kritické části sdílené bezpečnostní infrastruktury mnoha komunitám v upstreamu. Trusted Application Pipeline nabízí na bezpečnost zaměřenou službu Continuous Integration/Continuous Delivery (CI/CD), která zjednodušuje zavádění procesů, technologií a odborných znalostí, jež Red Hat používá k vytváření produkčního softwaru.

Kombinace softwarových inovací se zabezpečením zdrojového kódu

Služba Red Hat Trusted Content poskytne vývojářům v reálném čase informace o známých zranitelnostech a bezpečnostních rizicích v rámci jejich závislostí na softwaru s otevřeným zdrojovým kódem. Služba také navrhne dostupná nápravná opatření k minimalizaci rizik, čímž pomůže zkrátit čas a náklady na vývoj. Služba Red Hat Trusted Content poskytuje přístup k obsahu open source softwaru vytvořeného a spravovaného společností Red Hat, jehož původ je ověřen a potvrzen pomocí jejích interních osvědčených postupů. Jakmile je aplikace v produkčním provozu, služba proaktivně monitoruje a upozorňuje uživatele na známá nová a vznikající rizika v jejich závislostech na open source, což umožňuje rychlejší eliminaci nově se objevujících hrozeb.

Red Hat Trusted Application Pipeline pomáhá zákazníkům zvýšit zabezpečení dodavatelských řetězců aplikačního softwaru pomocí integrované CI/CD pipeline. Aplikace lze efektivněji vytvářet a snadněji integrovat do linuxových kontejnerů a následně je několika kliknutími nasadit na platformu Red Hat OpenShift nebo jiné platformy Kubernetes. Dříve tento postup vyžadoval značnou míru manuální práce a pro sestavení, testování a nasazení kontejnerizovaných aplikací bylo třeba stovek řádků automatizačního kódu, přičemž tento manuální proces otevírá prostor pro potenciální třecí plochy a lidské chyby, což přidává nové rizikové body a zpomaluje celkovou rychlost procesu.

S Red Hat Trusted Application Pipeline mohou zákazníci společnosti Red Hat:

  • importovat repozitáře Git a konfigurovat kontejnerově nativní průběžné vytváření, testování a nasazování pipelines prostřednictvím cloudové služby v několika málo krocích,
  • kontrolovat zdrojový kód a přechodné závislosti,
  • automaticky generovat softwarové kusovníky (SBOM) v buildech a ověřovat a spouštět obrazy kontejnerů s využitím zásad kritérií pro vydání, které pomáhají zajistit soulad s oborovými rámci, jako jsou úrovně dodavatelského řetězce pro softwarové artefakty (SLSA, Supply-chain Levels for Software Artifacts).
Štítky: 

Podobné články

Rok 2023 potvrdil kontinuální růst počtu zranitelností

8. 4. 2024. (redaktor: František Doupal, zdroj: GFI Software)
Podle aktuálních údajů z katalogu zjištěných zranitelností CVE bylo v loňském roce zjištěno rekordních 29 065 zranitelností, tedy o 12,6 % více než v roce 2022. K výrobcům s největším počtem zranitelností se zařadili Google, Microsoft a Adobe, nejohroženějším softwarem zůstávají operační systémy, zejména ty mobilní. Čtěte více

ASBIS CZ se stal distributorem softwaru ABBYY

4. 4. 2024. (redaktor: František Doupal, zdroj: ASBIS CZ)
Navázání této spolupráce mezi ABBYY a ASBIS CZ umožní zákazníkům vybírat z nabídky řešení vytvořených speciálně pro podniky, které chtějí zvýšit svoji efektivitu a využít AI k automatizaci ve velkém měřítku. ASBIS CZ je připraven poskytnout zákazníkům také servis a podporu při výběru a nákupu produktů. Čtěte více

ALSO Czech Republic oživí úspěšný projekt Power Platform Club, který umožní partnerům vytvářet byznysové aplikace pro jejich klienty

28. 11. 2023. (redaktor: Reseller Magazine OnLine, zdroj: ALSO Czech Republic)
Od 6. prosince budou probíhat pravidelná měsíční setkání Power Platform Clubu. Přední odborníci na tvorbu aplikací společnosti Microsoft, které zlepšují řízení procesů ve firmách, se zde podělí o své know-how s partnery z České republiky a Slovenska. Partneři se také dozvědí, jak automatizovat práci pomocí AI asistenta Microsoft Copilot. Čtěte více

Růst počtu zranitelností registrují tři čtvrtiny českých správců IT

22. 11. 2023. (redaktor: František Doupal, zdroj: GFI Software)
Podle průzkumu provedeného mezi partnery a zákazníky společnosti GFI Software vnímá 77 % českých IT správců neustále se zvyšující počet zranitelností. Řada z nich proto uvažuje o skenování zranitelností a instalaci softwarových záplat nabízených poskytovateli MSP služeb. Čtěte více