Red Hat anuncia atualizações para o Red Hat Trusted Software Supply Chain

A Red Hat, fornecedora global de soluções de código aberto, anunciou nesta quinta-feira (18/4) atualizações para o Red Hat Trusted Software Supply Chain. Os aprimoramentos aumentam a capacidade dos clientes de incorporar a segurança ao ciclo de vida de desenvolvimento de software, aumentando a integridade do software no início da cadeia de suprimentos e, ao mesmo tempo, aderindo às regulamentações do setor e aos padrões de conformidade.

De acordo com a empresa de análise do setor IDC, “até 2027, 75% dos CIOs integrarão medidas de segurança cibernética diretamente em sistemas e processos para detectar e neutralizar vulnerabilidades de forma proativa, fortalecendo contra ameaças cibernéticas e violações”. As organizações estão começando a integrar protocolos de segurança diretamente em seus processos de software, mudando suas medidas de segurança reativas para proativas, a fim de impedir violações de segurança antes que elas aconteçam.

O Red Hat Trusted Software Supply Chain fornece software e serviços que aumentam a resiliência de uma organização a vulnerabilidades, permitindo que ela identifique e resolva problemas potenciais com antecedência e os mitigue antes que eles possam ser explorados. As organizações agora estão habilitadas a codificar, criar, implantar e monitorar seus softwares com mais eficiência usando plataformas comprovadas, conteúdo confiável e verificação e correção de segurança em tempo real.

Com base no projeto de código aberto Sigstore fundado na Red Hat e agora parte da Open Source Security Foundation, o Red Hat Trusted Artifact Signer aumenta a confiabilidade dos artefatos de software que se movem pela cadeia de suprimentos de software, permitindo que desenvolvedores e partes interessadas assinem e verifiquem criptograficamente os artefatos usando uma autoridade de certificação sem chave. Com sua assinatura baseada em identidade por meio de uma integração com o OpenID Connect, as organizações podem ter maior confiança na autenticidade e integridade de sua cadeia de suprimentos de software sem a sobrecarga e o incômodo de gerenciar um sistema centralizado de gerenciamento de chaves.

As equipes de desenvolvimento e segurança também precisam de visibilidade e insight sobre o perfil de risco da base de código de um aplicativo para que as ameaças e vulnerabilidades de segurança possam ser identificadas de forma proativa e minimizadas. O Red Hat Trusted Profile Analyzer simplifica o gerenciamento de vulnerabilidades fornecendo uma fonte de verdade para a documentação de segurança, incluindo a Lista de Materiais de Software (SBOM) e o Vulnerability Exploitability Exchange (VEX). As organizações podem gerenciar e analisar a composição de ativos de software e a documentação de software personalizado, de terceiros e de código aberto sem retardar o desenvolvimento ou aumentar a complexidade operacional.

O Red Hat Trusted Application Pipeline combina os recursos do Red Hat Trusted Profile Analyzer e do Red Hat Trusted Artifact Signer, juntamente com a plataforma interna de desenvolvedor de nível empresarial da Red Hat, o Red Hat Developer Hub, para fornecer recursos de cadeia de suprimentos de software focados em segurança que são pré-integrados aos modelos de autoatendimento do desenvolvedor. O Red Hat Trusted Application Pipeline consiste em um hub de desenvolvedor central de modelos de software validados e guardrails integrados que padronizam e agilizam a integração de caminhos dourados focados em segurança para aumentar a confiança e a transparência no tempo do código.

As organizações podem usar a oferta para verificar a conformidade do pipeline e fornecer rastreabilidade e auditabilidade no processo de CI/CD com uma cadeia de confiança automatizada que valida assinaturas de artefatos e oferece procedência e atestados. Os contratos corporativos, com varredura de vulnerabilidades e verificação de políticas diretamente do pipeline de CI/CD, podem impedir que atividades de compilação suspeitas sejam promovidas à produção.

Essas ofertas estão disponíveis como recursos locais autogerenciados e podem ser colocadas em camadas em plataformas de aplicativos, como o Red Hat OpenShift, ou consumidas separadamente, oferecendo flexibilidade e opções para atender às necessidades específicas dos desenvolvedores.