Wie Red Hat die Software-Lieferkette sicherer machen will
Unter dem Namen "Trusted Software Supply Chain" hat Red Hat neue Lösungen präsentiert, mit denen sich Unternehmen gegen Schwachstellen in der Software-Lieferkette absichern können.
In Boston ist der Red Hat Summit in vollem Gange und das Unternehmen präsentiert eine Menge neuer Produkte und Dienste. Bei der Lösung namens "Red Hat Trusted Software Supply Chain" geht es, wie der Name schon sagt, um eine sichere und vertrauenswürdige Software-Lieferkette. Die Lösung erhöhe die grundlegende Sicherheit von Anwendungen sowie die Resilienz von Unternehmen, schreibt das Unternehmen dazu.
Mit "Trusted Software Supply Chain" sollen Unternehmen auf bewährte Plattformen, vertrauenswürdige Inhalte sowie Sicherheitsscans und Fehlerbehebung in Echtzeit zugreifen können. Dies ermögliche ihnen, ihre Software schneller und effizienter zu programmieren, zu entwickeln und zu überwachen, wie das Unternehmen schreibt.
Die Lösung beinhaltet mehrere Services, zum Beispiel "Red Hat Trusted Content". Dieser biete unternehmenstaugliche, vertrauenswürdige Inhalte und Wissen über die Open-Source-Pakete in den Anwendungen, erklärt das Unternehmen. Er basiert auf einem Fundament von sicherheitsoptimierter Systemsoftware mit Tausenden von vertrauenswürdigen Paketen, die in Red Hats Enterprise Linux enthalten sind. Dazu kommt noch ein Katalog kritischer Application Runtimes in den Ökosystemen Java, Node und Python.
Der Service überwacht Systeme proaktiv und liefert Entwicklern Informationen über bekannte Schwachstellen und Sicherheitsrisiken entlang den Abhängigkeiten in ihrer Open-Source-Software in Echtzeit. Ausserdem soll der Service auch mögliche Massnahmen zur Fehlerbehebung vorschlagen.
Integrierte Pipeline
Die "Trusted Application Pipeline" wiederum soll Unternehmen helfen, den Schutz ihrer Anwendungssoftware-Lieferketten anhand einer integrierten CI/CD- (Continuous Integration/Continuous Delivery) Pipeline zu erhöhen, wie Red Hat mitteilt. Konkret können User damit etwa Quellcode und wechselseitige Abhängigkeiten überprüfen, automatische Software-Stücklisten (Software Bill of Materials, kurz SBOMs) innerhalb von Builds generieren sowie Anwendungen mit wenigen Klicks auf Kubernetes-Plattformen bereitstellen.
Laut Red Hat geschahen diese Prozesse bislang häufig manuell und erforderten Hunderte Zeilen Automatisierungscode. "Dies birgt die Gefahr von Reibungsverlusten und menschlichen Fehlern, was zu neuen Risiken führt und eine schnelle Einführung erschwert", schreibt das Unternehmen dazu.
Die "Trusted Application Pipeline" ist laut Red Hat per sofort als Vorschauversion verfügbar. "Red Hat Trusted Content" soll in ein paar Wochen so weit sein.
Ebenfalls an der diesjährigen Hausmesse stellte Red Hat neue Ansible-Lösungen vor. Diese sollen die Automatisierung erleichtern. Mehr dazu lesen Sie hier.