Geliştiricilerin açık kaynak bileşenlerine dayanan uygulamaları güvenli bir şekilde oluşturmasına ve dağıtmasına yardımcı olmak amacıyla Red Hat, şirketin on yıllardır kendi yazılımını oluşturmak, izlemek ve dağıtmak için kullandığı tasarım gereği güvenli başucu kitabını açıkladı. Şirket, dört hizmetten oluşan ve şirketin dahili olarak kullandığı programlama araçlarını ve metodolojilerini temel alan Red Hat Güvenilir Yazılım Tedarik Zincirini tanıttı. Red Hat Zirvesi bu hafta Boston’da.
Yazılım tedarik zinciri güvenliğine odaklanma iki eğilimi yansıtıyor: ağırlıklı olarak açık kaynaklı bileşenlerle oluşturulmuş bulut yerel uygulamalara geçişi benimseyen kuruluşlar ve bu bileşenlerdeki güvenlik açıklarını hedef alan artan sayıda siber saldırı. ABD federal hükümeti, kuruluşları tasarım gereği güvenli ve varsayılan olarak güvenli yazılım geliştirme süreçleri uygulamaya zorluyor. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve FBI, küresel muadilleriyle bir araya gelerek raporu yayınladı. Secure-by-Design ve Varsayılan İlkeler ve Yaklaşımlar rehberlik geçen ay
Red Hat’in bulut hizmetleri genel müdürü Sarwar Raza, “Açık kaynaklı bir tedarik zincirinin güvenliği konusunda Red Hat’e güvenmek, temelde son 30 yıldır müşterilerimize sunduğumuz şeyin devamıdır” diyor. “Şirket içinde kullandığımız CI/CD yetenekleriyle birlikte bu yeteneği de aldık ve şimdi süreçlerimizi, teknolojimizi ve uzmanlığımızı müşterilerimize sunuyoruz, böylece yazılımınızı güvenli hale getirip geliştirebilirsiniz. aynı bizim yaptığımız gibi.”
Red Hat’in Dört Temel Hizmetinin Önizlemesi
Red Hat Güvenilir Yazılım Tedarik Zincirindeki dört hizmetten ikisi — Red Hat Güvenilir Uygulama Hattı ve Red Hat Güvenilir İçerik — önizleme sürümleri olarak mevcuttur. Üçüncüsü olan Red Hat Advanced Cluster Security Bulut Hizmeti, Kubernetes tabanlı, bulut yerel uygulama güvenliğini güvenli bir şekilde oluşturmak, dağıtmak ve sürdürmek için yönetilen bir hizmettir. Son olarak, Quay kurumsal kayıt defteridir CoreOS tarafından satın alındı 2014’te Red Hat, 2018’de CoreOS’u satın aldıktan sonra devraldı.
Raza, teklifin yalnızca Red Hat Enterprise Linux’ta binlerce güvenilir paketin yanı sıra Java, Node ve Python’da kritik uygulama çalıştırma zamanları kataloğu içerdiğini söylüyor. “Hizmet yalnızca güçlendirilmiş, güvenilir içerik sağlamakla kalmıyor, aynı zamanda bilgi de sağlıyoruz” diyor.
Red Hat Güvenilir Uygulaması, bu bilgiyi kullanarak yazılım malzeme listelerini (SBOM’ler) otomatik olarak oluşturabilir. Raza, “Bir müşteri olarak, bu yazılım paketlerinin güvenliğini kanıtlayan eserleri alıp denetçilere veya düzenleyicilere sunabilir ve ardından onların gereksinimlerini karşılayabilirsiniz” diyor.
Red Hat Güvenilir Uygulama İşlem Hatları üzerine kuruludur mağazaaçık kaynaklı bir proje olan Red Hat başlatıldı ve o zamandan beri Linux Vakfı’na devredildi; sigstore artık bulutta yerel güvenlik imzalama için ücretsiz olarak kullanılabilen bir standarttır. Application Pipelines, geliştirme sürecinin birden çok aşamasını yönetir.
Kodlama aşamasında Red Hat, bağımlılıkları analiz etmeyi ve geliştiricileri alternatif bileşenlere yönlendiren tüm güvenlik açıklarına karşı uyarıyı içeren yazılım kompozisyonu analizi gerçekleştiren bir geliştirici eklentisi sağlar. İnşa aşamasında Red Hat Application Pipelines, sisteme beslenen bir kurumsal sözleşme oluşturur. Raza, “Bu temelde korkulukları ve uygulanacak standartları belirliyor” diyor.
SBOM’ları Otomatik Olarak Oluşturma
Red Hat Trusted Pipelines ayrıca her derleme için yazılım malzeme listelerini (SBOM’ler) otomatik olarak oluşturur. Raza, “SBOM’lar, güvenlik açığı bilgileri, bu paketlerle ilgili bilgiler, teklifin ayrılmaz bir parçasıdır” diyor. “Böylece bir müşteri olarak, bu yazılım paketlerinin güvenliğini kanıtlayan eserleri alabilir ve bunları denetçilere veya düzenleyicilere sunabilir ve ardından onların gereksinimlerini karşılayabilirsiniz.”
IDC analisti Al Gillen, “Bu, birçok şirketin kendi ürünlerini güvenli bir şekilde oluşturabilmesi için gerçekten iyi bir başlangıç noktası” diyor. “Ama yine de kendi ürünlerini dağıtmak zorundalar ve dağıtım kanalları başka biri için ayrı bir tedarik zinciri.”
Red Hat’in açık kaynak altyapı pazarındaki önemi göz önüne alındığında, teklifleri Red Hat Enterprise Linux (RHEL) ve OpenShift üzerinde geliştirme yapanların geniş ekosistemine hitap etmeyi vaat ediyor, ancak ikisini de gerektirmiyor. Ayrıca Black Duck (artık Özet), Mend ve Snyk gibi şirketlerden SCA teklifi sağlayıcıları için yıkıcı olabilir.
Omdia analisti Rik Turner, “Red Hat’in sunduğu şey, OpenShift müşterilerinin uygulamalarını oluştururken yararlanabilecekleri, derlenmiş OSS bileşenlerinden oluşan bir havuzdur” diyor. “Bu kesinlikle onlar için değerli olacak, hatta potansiyel olarak kendi kodlarının arasına neyi gömdüklerini kontrol etmek için SCA platformlarının kullanılması ihtiyacını ortadan kaldıracak.”
