Novinka od Red Hatu chrání dodavatelský řetězec softwaru

19. 7. 2023. (redaktor: František Doupal, zdroj: Red Hat)
Řešení Red Hat Trusted Software Supply Chain zvyšuje odolnost vůči zranitelnostem v dodavatelském řetězci softwaru. Součástí jsou také cloudové služby Red Hat Trusted Application Pipeline a Red Hat Trusted Content, jejichž cílem je podpořit úspěšné zavádění postupů DevSecOps a začlenit bezpečnostní aspekty do životního cyklu vývoje softwaru.

Díky Red Hat Trusted Software Supply Chain mohou zákazníci rychleji a efektivněji vyvíjet, sestavovat a monitorovat svůj software s využitím osvědčených platforem, důvěryhodného obsahu a bezpečnostního skenování a odstraňování hrozeb v reálném čase.

Důvěryhodný dodavatelský řetězec softwaru

Vzhledem k tomu, že 75 % zdrojových kódů aplikací je nyní tvořeno otevřeným kódem, jsou tyto komponenty pod větším drobnohledem, zejména proto, že počet útoků na dodavatelský řetězec softwaru vzrostl od roku 2020 o 742 %. Zákazníci se tak snaží do svého dodavatelského řetězce softwaru a vývojových životních cyklů integrovat ochranné prvky, aby urychlili inovace bez ohrožení bezpečnosti.

Software a služby dodávané v Red Hat Trusted Software Supply Chain zvyšují odolnost organizace vůči zranitelnostem v celém životním cyklu moderního vývoje softwaru. Red Hat Trusted Content staví na základech systémového softwaru se zvýšeným zabezpečením, který jen v systému Red Hat Enterprise Linux obsahuje tisíce důvěryhodných balíčků a katalog kritických běhových prostředí aplikací v ekosystémech Java, NodeJS a Python. Služba poskytuje zákazníkům důvěryhodný obsah se zabezpečením na podnikové úrovni a znalosti o balíčcích s otevřeným zdrojovým kódem v zákaznických aplikacích.

Služba RedHat Trusted Application Pipeline vychází ze základů práce na vytváření, spouštění a údržbě služby Sigstore pro podepisování a ověřování kódu, která poskytuje volně dostupný standard pro bezpečné podepisování v cloudu a zároveň i kritické části sdílené bezpečnostní infrastruktury mnoha komunitám v upstreamu. Trusted Application Pipeline nabízí na bezpečnost zaměřenou službu Continuous Integration/Continuous Delivery (CI/CD), která zjednodušuje zavádění procesů, technologií a odborných znalostí, jež Red Hat používá k vytváření produkčního softwaru.

Kombinace softwarových inovací se zabezpečením zdrojového kódu

Služba Red Hat Trusted Content poskytne vývojářům v reálném čase informace o známých zranitelnostech a bezpečnostních rizicích v rámci jejich závislostí na softwaru s otevřeným zdrojovým kódem. Služba také navrhne dostupná nápravná opatření k minimalizaci rizik, čímž pomůže zkrátit čas a náklady na vývoj. Služba Red Hat Trusted Content poskytuje přístup k obsahu open source softwaru vytvořeného a spravovaného společností Red Hat, jehož původ je ověřen a potvrzen pomocí jejích interních osvědčených postupů. Jakmile je aplikace v produkčním provozu, služba proaktivně monitoruje a upozorňuje uživatele na známá nová a vznikající rizika v jejich závislostech na open source, což umožňuje rychlejší eliminaci nově se objevujících hrozeb.

Red Hat Trusted Application Pipeline pomáhá zákazníkům zvýšit zabezpečení dodavatelských řetězců aplikačního softwaru pomocí integrované CI/CD pipeline. Aplikace lze efektivněji vytvářet a snadněji integrovat do linuxových kontejnerů a následně je několika kliknutími nasadit na platformu Red Hat OpenShift nebo jiné platformy Kubernetes. Dříve tento postup vyžadoval značnou míru manuální práce a pro sestavení, testování a nasazení kontejnerizovaných aplikací bylo třeba stovek řádků automatizačního kódu, přičemž tento manuální proces otevírá prostor pro potenciální třecí plochy a lidské chyby, což přidává nové rizikové body a zpomaluje celkovou rychlost procesu.

S Red Hat Trusted Application Pipeline mohou zákazníci společnosti Red Hat:

  • importovat repozitáře Git a konfigurovat kontejnerově nativní průběžné vytváření, testování a nasazování pipelines prostřednictvím cloudové služby v několika málo krocích,
  • kontrolovat zdrojový kód a přechodné závislosti,
  • automaticky generovat softwarové kusovníky (SBOM) v buildech a ověřovat a spouštět obrazy kontejnerů s využitím zásad kritérií pro vydání, které pomáhají zajistit soulad s oborovými rámci, jako jsou úrovně dodavatelského řetězce pro softwarové artefakty (SLSA, Supply-chain Levels for Software Artifacts).
Štítky: 

Podobné články

Generativní umělou inteligenci si v příštích dvou letech osvojí 85 % vývojářů softwaru

30. 7. 2024. (redaktor: František Doupal, zdroj: Capgemini )
Společnost Capgemini očekává, že generativní umělá inteligence (Gen AI) bude hrát klíčovou roli při rozšiřování schopností vývojářů softwaru a v příštích dvou letech bude pomáhat při více než 25 % práce na návrhu, vývoji a testování softwaru. Čtěte více

Generativní umělá inteligence zvyšuje produktivitu softwarového inženýrství o 70 %

28. 6. 2024. (redaktor: František Doupal, zdroj: Ness Czech)
Studie společnosti Ness Digital Engineering odhalila, že implementace generativní AI nejenom, že zvyšuje produktivitu, ale také umožňuje vytvořit důkladně asistovaný kontext pro práci, což firmám umožňuje hladce globalizovat svou práci. To může vést nejenom k lepším obchodním výsledkům, ale také k úplné transformaci struktury celých organizací. Čtěte více

Progress představil nové vývojové nástroje umožňující integrovat generativní AI do jakékoli aplikace

18. 6. 2024. (redaktor: František Doupal, zdroj: Progress )
Progress představil nejnovější verze knihoven a nástrojů pro vývoj aplikací v prostředí .NET a JavaScriptu – Progress Telerik a Progress Kendo UI. Novinky přináší umělou inteligenci do rozhraní aplikací, vyšší produktivitu při vývoji, funkce pro přístupnost a řadu nových komponent uživatelského rozhraní, včetně komponenty Blazor Spreadsheet. Čtěte více

Softwaroví developeři místo vývoje řeší problémy s výkonem a dostupností aplikací

3. 6. 2024. (redaktor: František Doupal, zdroj: Cisco)
Softwaroví vývojáři tráví podle nejnovějšího průzkumu Cisco více než 57 % času tím, že řeší problémy s výkonem aplikací, místo aby se soustředili na tvorbu nového softwaru a věnovali se inovacím. Příčinou je fakt, že firmy nemají nasazeny vhodné nástroje, které by poskytovaly přehled o infrastruktuře a umožnily rychle identifikovat příčiny problémů s chodem aplikací. Čtěte více