Si chiama Red Hat Trusted Software Supply Chain la soluzione completa di Red Hat che migliora la resilienza alle vulnerabilità della supply chain software. Come parte di questa soluzione, due nuovi servizi cloud, Red Hat Trusted Application Pipeline e Red Hat Trusted Content, si uniscono ai servizi software e cloud Red Hat già esistenti. Tra questi, Quay e Advanced Cluster Security (ACS) al fine di promuovere l’adozione di pratiche DevSecOps e integrare la sicurezza in ogni fase del ciclo di vita dello sviluppo software.
Con Red Hat Trusted Software Supply Chain, i clienti possono codificare, creare e monitorare il loro software in modo più rapido ed efficiente utilizzando piattaforme collaudate, contenuti certificati e scansioni di sicurezza e remediation in tempo reale. La soluzione deriva dagli oltre 30 anni di esperienza di Red Hat, guadagnata grazie alla fornitura di soluzioni open source protette che facilitano l’adozione del cloud ibrido, pur mantenendo una postura di sicurezza IT efficace.
Catena di fornitura del software affidabile grazie a Red Hat
Con il 75% delle basi di codice delle applicazioni oggi costituite da codice open source, le autorità di regolamentazione e le agenzie governative stanno sottoponendo questi componenti a un maggiore controllo, soprattutto perché gli attacchi alla catena di fornitura del software sono aumentati del 742% dal 2020. Per contribuire a mitigare questi rischi, i clienti cercano di integrare guardrail nella catena di fornitura del software e nei cicli di vita dello sviluppo per accelerare l’innovazione senza compromettere la sicurezza.
Il software e i servizi forniti nell’ambito di Red Hat Trusted Software Supply Chain migliorano la resilienza dell’organizzazione alle vulnerabilità in ogni fase del moderno ciclo di vita dello sviluppo software. Red Hat Trusted Content si basa su software di sistema ottimizzato per la sicurezza, con oltre 10.000 pacchetti affidabili solo in Red Hat Enterprise Linux e un catalogo runtime di applicazioni critiche negli ecosistemi Java, Node e Python. Il servizio intende fornire ai clienti la più estesa libreria di contenuti affidabili del settore.
Supply chain software, sfida per i CIO
La base di Red Hat Trusted Application Pipeline deriva dal lavoro fondamentale di Red Hat nella creazione, lancio e manutenzione di sigstore, che fornisce uno standard liberamente disponibile per la firma sicura cloud-native, oltre a elementi critici di infrastruttura di sicurezza condivisa a molte comunità upstream. Trusted Application Pipeline offre un servizio di Continuous Integration/Continuous Delivery (CI/CD) orientato alla sicurezza che semplifica l’adozione dei processi, delle tecnologie e delle competenze utilizzate da Red Hat per realizzare il software di produzione.
“Le organizzazioni IT non possono più preoccuparsi solo di creare applicazioni di produzione, devono anche migliorare la sicurezza dei componenti che costituiscono il prodotto finale. La verifica della provenienza dei componenti open source e la scansione continua del codice che passa attraverso le pipeline di distribuzione e delle pipeline stesse, oltre all’applicazione di pratiche di sviluppo e distribuzione solide, possono rappresentare una sfida significativa per i CIO”, commenta Sarwar Raza, vice president e general manager cloud services, Red Hat. “Red Hat Trusted Software Supply Chain è stato progettato per porre rimedio a queste esigenze, codificando l’esperienza decennale di Red Hat nelle supply chain del software open source in servizi facilmente integrabili e di agevole consumo, aiutando non solo a creare fiducia intorno alle applicazioni di produzione, ma anche a portarle sul mercato più rapidamente”.
Tutti gli sviluppatori di applicazioni moderne sono avvantaggiati
“La sicurezza della supply chain software è una delle priorità che le organizzazioni IT aziendali si trovano ad affrontare, soprattutto perché sempre più sistemi e applicazioni business-critical integrano o sfruttano elementi open source,” dichiara Al Gillen, vicepresidente del gruppo Sviluppo e Open Source, IDC. “Red Hat Trusted Software Supply Chain Security si basa sulle pipeline e sui processi interni alla supply chain di Red Hat e rappresenta un importante passo avanti per il settore quando si tratta di costruire applicazioni moderne e sicure. Altrettanto importante è il fatto che questo prodotto apre il set di soluzioni di Red Hat alla comunità di sviluppatori al di fuori dell’ecosistema Red Hat esistente. Il che significa che tutti gli sviluppatori di applicazioni moderne – non solo quelli di RHEL – possono trarre vantaggio da questa soluzione”.
Un ponte tra l’innovazione del software e la sicurezza del codice sorgente
Disponibile come servizio in anteprima nelle prossime settimane, Red Hat Trusted Content fornirà agli sviluppatori una conoscenza in tempo reale delle vulnerabilità note e dei rischi per la sicurezza all’interno delle loro dipendenze software open source. Il servizio suggerirà anche possibili rimedi per minimizzare i rischi, contribuendo a ridurre tempi e costi di sviluppo.
Red Hat Trusted Content offre l’accesso a contenuti software open source realizzati e curati da Red Hat, con una provenienza e un’attestazione complete, utilizzando le best practice interne di Red Hat per soddisfare i requisiti normativi e di conformità. Al termine dello sviluppo, il servizio monitora in modo proattivo e avvisa gli utenti di rischi nuovi ed emergenti nelle loro dipendenze open source, consentendo una più rapida correzione delle minacce emergenti.
Red Hat Trusted Application Pipeline, disponibile da oggi come servizio in anteprima, aiuta i clienti a migliorare la sicurezza della supply chain del software applicativo con una pipeline CI/CD integrata. Le applicazioni possono essere costruite in modo sicuro e più facilmente integrate in container Linux e quindi distribuite su Red Hat OpenShift o altre piattaforme Kubernetes con pochi clic.
In precedenza, questo era spesso un processo altamente manuale, con centinaia di righe di codice di automazione necessarie per sviluppare, testare e distribuire applicazioni containerizzate che introduce potenziali attriti ed errori umani, aggiungendo nuovi punti di rischio e rallentando la velocità complessiva.
Con Red Hat Trusted Application Pipeline, i clienti Red Hat possono:
- Importare repository git e configurare pipeline di build, test e deployment continui container-native tramite un servizio cloud in pochi passaggi.
- Ispezionare il codice sorgente e le dipendenze transitive.
- Generare automaticamente la distinta base del software (SBOM) all’interno delle build.
- Verificare e promuovere le immagini dei container tramite un motore di criteri contrattuali aziendali che aiuta a confermare la coerenza con gli standard del settore, come i livelli di catena di fornitura per gli artefatti software (SLSA).
