Red Hat kündigt Red Hat Trusted Software Supply Chain an. Diese Lösung soll laut einer Mitteilung die Widerstandsfähigkeit gegenüber Schwachstellen in der Software-Lieferkette stärken.
Darüber hinaus kommen zwei neue Cloud-Services, Red Hat Trusted Application Pipeline und Red Hat Trusted Content, auf den Markt, die zunächst als Preview die bestehenden Software- und Cloud-Services von Red Hat wie Quay und Advanced Cluster Security (ACS) ergänzen, wie das Unternehmen mitteilt. Ziel sei es, die Einführung von DevSecOps-Praktiken erfolgreich voranzutreiben und Sicherheit in die Softwareentwicklung einzubetten.
Mit Red Hat Trusted Software Supply Chain sollen Unternehmen auf bewährte Plattformen, vertrauenswürdige Inhalte sowie Sicherheitsscans und Fehlerbehebung in Echtzeit zugreifen und so ihre Software schneller und effizienter programmieren, entwickeln und überwachen können.
Red Hat Trusted Software Supply Chain im Detail
Da 75 Prozent des Anwendungscodes mittlerweile auf Open-Source-Code basierten, würden diese Komponenten verstärkt unter die Lupe genommen, zumal die Angriffe auf die Software-Lieferkette seit 2020 um 742 Prozent gestiegen seien. Unternehmen versuchten, entsprechende Leitlinien in ihre Software-Lieferkette und -Entwicklungszyklen zu integrieren, um so Innovationen zu beschleunigen, ohne die Sicherheit zu gefährden.
Die Software und Services, die im Rahmen von Red Hat Trusted Software Supply Chain bereitgestellt werden, sollen die Resilienz eines Unternehmens gegenüber Schwachstellen in der Softwareentwicklung erhöhen. Red Hat Trusted Content basiere auf einem Fundament von sicherheitsoptimierter Systemsoftware mit Tausenden von vertrauenswürdigen Paketen allein in Red Hat Enterprise Linux sowie einem Katalog kritischer Application Runtimes in den Ökosystemen Java, Node und Python. Der Service biete unternehmenstaugliche, vertrauenswürdige Inhalte und Wissen über die Open-Source-Pakete in den Anwendungen.
Die Basis für Red Hat Trusted Application Pipeline stelle Red Hats grundlegende Arbeit bei der Erstellung, Einführung und Wartung von sigstore dar. sigstore soll einen frei zugänglichen Standard für sicheres Signieren in der Cloud liefern und stellw für Upstream-Communities wichtige Teile der gemeinsamen Sicherheitsinfrastruktur bereit. Trusted Application Pipeline biete einen sicherheitsorientierten CI/CD (Continuous Integration/Continuous Delivery)-Service, der die Übernahme aller Prozesse, Technologien und Expertise, die Red Hat für die Erstellung von Produktionssoftware verwende, vereinfache.
Software-Innovation und Quellcode-Sicherheit
Der Service von Red Hat Trusted Content schlage auch mögliche Massnahmen zur Fehlerbehebung vor, um die Risiken zu minimieren und so Entwicklungszeit wie auch -kosten zu reduzieren. Red Hat Trusted Content ermögliche den Zugriff auf von Red Hat erstellte und gepflegte Open-Source-Softwareinhalte einschliesslich Dokumentation und Zertifizierung, wobei die internen Best Practices von Red Hat zum Einsatz kämen.
Red Hat Trusted Application Pipeline sollt Unternehmen dabei helfen, den Schutz ihrer Anwendungssoftware-Lieferketten anhand einer integrierten CI/CD-Pipeline zu erhöhen. Anwendungen könnten effizienter erstellt und einfacher in Linux-Container integriert werden und dann mit wenigen Klicks auf Red Hat OpenShift oder anderen Kubernetes-Plattformen bereitgestellt werden. Bislang sei dies häufig ein sehr manueller Prozess, bei dem Hunderte von Zeilen Automatisierungscode für die Erstellung, das Testen und die Bereitstellung von containerisierten Anwendungen erforderlich seien. Dies berge die Gefahr von Reibungsverlusten und menschlichen Fehlern.
Mehr Informationen über Red Hat Trusted Software Supply Chain und die zugehörigen Cloud-Services gibt es unter red.ht/trusted. Online können sich Unternehmen zudem für die Preview-Version registrieren.
