Die Weiterentwicklung der Lösung ermöglicht es Unternehmen, die Sicherheit in der Software-Lieferkette zu verlagern und so Schwachstellen früher zu erkennen
Zürich, 19. April 2024 – Red Hat, der weltweit führende Anbieter von Open-Source-Lösungen, hat Updates für Red Hat Trusted Software Supply Chain angekündigt. Diese Lösungen ermöglichen es Unternehmen, Sicherheit in den Lebenszyklus der Softwareentwicklung einzubetten und die Softwareintegrität zu einem früheren Zeitpunkt in der Lieferkette zu erhöhen, während gleichzeitig die Branchenvorschriften und Compliance-Standards eingehalten werden.
Laut den Branchenanalysten von IDC werden «bis 2027 75 Prozent der CIOs Cybersicherheitsmassnahmen direkt in Systeme und Prozesse integrieren, um Schwachstellen proaktiv zu erkennen und zu neutralisieren und sich so gegen Cyberbedrohungen und Sicherheitsverletzungen zu wappnen»(1). Unternehmen gehen dazu über, Sicherheitsprotokolle direkt in ihre Softwareprozesse zu integrieren und ihre reaktiven Sicherheitsmassnahmen durch proaktive zu ersetzen, um Sicherheitsverletzungen zu verhindern, bevor diese überhaupt passieren.
Red Hat Trusted Software Supply Chain liefert Software und Services, die die Widerstandsfähigkeit von Unternehmen gegenüber Schwachstellen erhöhen und es in die Lage versetzen, potenzielle Probleme frühzeitig zu erkennen und zu beheben, bevor sie ausgenutzt werden können. Firmen können ihre Software effizienter programmieren, bereitstellen, einsetzen und überwachen, indem sie bewährte Plattformen, vertrauenswürdige Inhalte und Echtzeit-Security nutzen.
Red Hat Trusted Artifact Signer basiert auf dem Open-Source-Projekt Sigstore, das von Red Hat gegründet wurde und jetzt Teil der Open Source Security Foundation ist. Es erhöht die Vertrauenswürdigkeit von Software-Artefakten, die die Software-Lieferkette durchlaufen, indem es Entwicklern und Beteiligten ermöglicht, die Artefakte mithilfe einer schlüssellosen Zertifizierungsstelle kryptografisch zu signieren und zu verifizieren. Dank der identitätsbasierten Signierung durch die Integration mit OpenID Connect können Unternehmen Vertrauen in die Authentizität und Integrität ihrer Software-Lieferkette haben, ohne den Aufwand und die Probleme, die mit der Verwaltung eines zentralisierten Schlüsselverwaltungssystems verbunden sind.
Entwicklungs- und Sicherheitsteams benötigen ausserdem Transparenz und Einblick in das Risikoprofil der Codebasis einer Anwendung, um Sicherheitsbedrohungen und Schwachstellen proaktiv erkennen und minimieren zu können. Red Hat Trusted Profile Analyzer vereinfacht das Schwachstellenmanagement, indem es eine einheitliche Quelle für die Sicherheitsdokumentation bietet, einschliesslich Software Bill of Materials (SBOM) und Vulnerability Exploitability Exchange (VEX). Unternehmen können die Zusammensetzung von Software-Assets und die Dokumentation von benutzerdefinierter, Drittanbieter- und Open-Source-Software verwalten und analysieren, ohne die Entwicklung zu verlangsamen oder die betriebliche Komplexität zu erhöhen.
Red Hat Trusted Application Pipeline kombiniert die Funktionen von Red Hat Trusted Profile Analyzer und Red Hat Trusted Artifact Signer mit Red Hat Developer Hub, der internen Entwicklerplattform von Red Hat, um sicherheitsorientierte Software-Supply-Chain-Funktionen bereitzustellen, die in Self-Service-Templates für Entwickler vorintegriert sind. Red Hat Trusted Application Pipeline besteht aus einem zentralen Developer Hub mit validierten Software-Vorlagen und integrierten Leitplanken, die das Onboarding eines sicherheitsorientierten „Golden Path“ standardisieren und beschleunigen, um das Vertrauen und die Transparenz der Code-Time zu erhöhen.
Unternehmen können das Angebot nutzen, um die Konformität der Pipeline zu verifizieren und Nachvollziehbarkeit sowie Auditierbarkeit im CI/CD-Prozess mit einer automatisierten Vertrauenskette, die Artefakt-Signaturen validiert und Provenance und Attestierungen bietet, zu gewährleisten. Unternehmensverträge mit Schwachstellen-Scans und Richtlinienprüfungen direkt in der CI/CD-Pipeline können verhindern, dass verdächtige Build-Aktivitäten in die Produktion gelangen.
Diese Angebote sind als selbstverwaltete On-Premise-Funktionen verfügbar und können auf Anwendungsplattformen wie Red Hat OpenShift aufgesetzt oder separat genutzt werden, was den Entwicklern Flexibilität und Auswahlmöglichkeiten für ihre spezifischen Anforderungen bietet.
Verfügbarkeit
Red Hat Trusted Artifact Signer und Red Hat Trusted Application Pipeline sind allgemein verfügbar. Red Hat Trusted Profile Analyzer ist als Tech-Preview erhältlich, die allgemeine Verfügbarkeit wird für dieses Quartal erwartet. Mehr Informationen dazu gibt es unter red.ht/assured und im Kundenportal von Red Hat.
Zitate
Sarwar Raza, Vice President und General Manager, Application Developer Business Unit, Red Hat
«Unternehmen sind bestrebt, die Risiken der sich ständig weiterentwickelnden Sicherheitsbedrohungen bei der Softwareentwicklung zu minimieren, um das Vertrauen von Anwendern, Kunden und Partnern zu bewahren und auszubauen. Red Hat Trusted Software Supply Chain wurde entwickelt, um Sicherheitsfunktionen nahtlos in jede Phase des Lebenszyklus der Softwareentwicklung einzubinden. Von der Code- bis zur Laufzeit tragen diese Tools zu mehr Transparenz und Vertrauen bei und ermöglichen es DevSecOps-Teams, das Fundament für ein sichereres Unternehmen zu legen, ohne dabei Einfluss auf die Entwicklungsgeschwindigkeit oder die kognitive Belastung zu nehmen.»
Jim Mercer, Program Vice President, Software Development, DevOps & DevSecOps, IDC
«Red Hat sichert seit 30 Jahren Open-Source-Software und die Open-Source-Software-Lieferkette. Das Unternehmen hat seine Open-Source-Due-Diligence weiter verbessert, indem es Schutzmassnahmen gegen Manipulationen bietet und sicherstellt, dass der gesamte Code in internen Repositories gespeichert wird und die vom Unternehmen vertriebene Software signiert ist, um so die digitale Nachweisbarkeit zu verbessern. Red Hat Trusted Software Supply Chain erweitert die bestehende Open-Source-Due-Diligence-Prüfung, um Unternehmen bei der Verwaltung ihrer Open-Source- und Software-Lieferketten zu unterstützen, indem sie dieselbe Supply Chain nutzen, die Red Hat für die Bereitstellung vertrauenswürdiger Open-Source-Software verwendet.»
Zusätzliche Informationen
Weitere Informationen zu Red Hat
- Erfahren Sie mehr über Red Hat
- Lesen Sie Neuigkeiten und Presseinformationen im Red Hat Newsroom oder im Red Hat Blog
- Folgen Sie Red Hat auf Twitter (DACH und Corporate), Facebook, YouTube und LinkedIn
(1) IDC FutureScape: Worldwide CIO Agenda 2024 Predictions, Doc # US51294523, Oktober 2023
Über Red Hat, Inc.
Red Hat, der weltweit führende Anbieter von Enterprise-Open-Source-Lösungen, folgt einem von der Community getriebenen Ansatz, um zuverlässige und leistungsstarke Linux-, Hybrid-Cloud-, Container- und Kubernetes-Technologien bereitzustellen. Red Hat unterstützt Kunden bei der Integration neuer und bestehender IT-Anwendungen, der Entwicklung Cloud-nativer Applikationen, der Standardisierung auf unserem branchenführenden Betriebssystem sowie der Automatisierung, Sicherung und Verwaltung komplexer Umgebungen. Preisgekrönte Support-, Trainings- und Consultingleistungen machen Red Hat zu einem vertrauenswürdigen Berater für Fortune-500-Unternehmen. Als strategischer Partner von Cloud-Providern, Systemintegratoren, Applikationsanbietern, Kunden und Open-Source-Communities kann Red Hat Unternehmen bei der Vorbereitung auf die digitale Zukunft unterstützen. Weitere Informationen: https://www.redhat.com/de.
Forward-Looking Statements
Except for the historical information and discussions contained herein, statements contained in this press release may constitute forward-looking statements within the meaning of the Private Securities Litigation Reform Act of 1995. Forward-looking statements are based on the company’s current assumptions regarding future business and financial performance. These statements involve a number of risks, uncertainties and other factors that could cause actual results to differ materially. Any forward-looking statement in this press release speaks only as of the date on which it is made. Except as required by law, the company assumes no obligation to update or revise any forward-looking statements.
###
Red Hat, the Red Hat logo and OpenShift are trademarks or registered trademarks of Red Hat, Inc. or its subsidiaries in the U.S. and other countries.
Pressekontakt:
Jenni Kommunikation AG
Sylvana Zimmermann
Tel: +41 44 388 60 80
E-Mail: sylvana.zimmermann@jeko.com