Red Hat lanceert tools voor ontwikkelaars binnen Trusted Software Supply Chain

Red Hat kondigt updates aan voor Red Hat Trusted Software Supply Chain. De nieuwe oplossingen versterken het vermogen van klanten om security te integreren in het softwareontwikkelingsproces, zodat ze de veiligheid eerder in de supply chain kunnen borgen en kunnen voldoen aan regelgeving en compliance-standaarden.

Red Hat Trusted Software Supply Chain levert software en diensten die de weerbaarheid tegen kwetsbaarheden van deze organisaties verhoogt, zodat potentiële problemen vroegtijdig kunnen worden geïdentificeerd en gemitigeerd voordat ze kunnen worden uitgebuit.

1. Red Hat Trusted Artifact Signer
Red Hat Trusted Artifact Signer is gebaseerd op het open source Sigstore-project dat is opgericht bij Red Hat en nu onderdeel is van de Open Source Security Foundation. Deze oplossing stelt ontwikkelaars en belanghebbenden in staat om artefacten cryptografisch te ondertekenen en te verifiëren met behulp van een sleutelloos certificaat. Dankzij deze identiteitsgebaseerde ondertekening via een integratie met OpenID Connect kunnen organisaties met vertrouwen de authenticiteit en integriteit van hun software supply chain garanderen, zonder de overhead en administratieve last van een gecentraliseerd sleutelbeheersysteem.

2. Red Hat Trusted Profile Analyzer
Development- en securityteams hebben inzicht nodig in het risicoprofiel van de applicatiecode, zodat dreigingen en kwetsbaarheden proactief kunnen worden geïdentificeerd en geminimaliseerd. Red Hat Trusted Profile Analyzer vereenvoudigt het beheer van kwetsbaarheden door een basis te bieden voor securitydocumentatie, inclusief de Software Bill of Materials (SBOM) en Vulnerability Exploitability Exchange (VEX). Organisaties kunnen hiermee de samenstelling van software-assets beheren en analyseren, net als de documentatie van maatwerk software, software van derden en open-source software, zonder de ontwikkeling te vertragen of de operationele complexiteit te verhogen.

3. Red Hat Trusted Application Pipeline
Red Hat Trusted Application Pipeline combineert de kracht van Red Hat Trusted Profile Analyzer en Red Hat Trusted Artifact Signer met het development platform Red Hat Developer Hub. Die combinatie biedt nieuwe mogelijkheden om de security van de software supply chain te versterken. Deze zijn geïntegreerd in kant-en-klare templates voor ontwikkelaars. Red Hat Trusted Application Pipeline bestaat uit een centrale hub met gevalideerde softwaretemplates en geïntegreerde guardrails, waarmee ontwikkelaars efficiënter best practices kunnen toepassen voor meer vertrouwen en transparantie tijdens het coderen.

Organisaties kunnen de nieuwe oplossingen inzetten voor handhaving van compliance in de software pipeline en het vergroten van het auditgemak van het CI/CD-proces. Wanneer ook vulnerability scanning en checks op beleid met behulp van enterprise contracten in de CI/CD-pipeline worden ingebed, kan verdachte code in de ontwikkelomgeving worden geblokkeerd nog voordat deze naar de productieomgeving gaat.

Deze oplossingen zijn beschikbaar voor zelfbeheer in on-premises omgevingen en kunnen worden toegevoegd aan applicatieplatforms zoals Red Hat OpenShift of apart worden ingezet, zodat ontwikkelaars de flexibiliteit en keuzevrijheid hebben om aan hun specifieke behoeften te voldoen.