Red Hat étend sa solution Red Hat Trusted Software Supply Chain pour favoriser une expérience developer-first
avril 2024 par Patrick LEBRETON
Les nouvelles avancées de la solution permettent aux entreprises d’adopter une approche de la sécurité « Shift Left » au sein de leur chaîne d’approvisionnement des logiciels et d’ainsi détecter les vulnérabilités plus rapidement
Red Hat, Inc, annonce que sa solution Red Hat Trusted Software Supply Chain a fait l’objet de nouvelles mises à jour. Ces dernières permettent désormais aux clients d’intégrer la sécurité dans le cycle de développement des logiciels et d’améliorer l’intégrité des logiciels plus tôt dans la chaîne d’approvisionnement, tout en se conformant aux réglementations et aux normes industrielles en vigueur.
Selon le cabinet d’analyse IDC, « D’ici 2027, 75 % des DSI intégreront des mesures de cybersécurité directement dans les systèmes et les processus afin de détecter et de neutraliser les vulnérabilités de manière proactive et de se prémunir contre les cybermenaces et les atteintes à la sécurité ». En effet, les entreprises commencent à intégrer des protocoles de sécurité directement dans leurs processus logiciels et mettent désormais en place des mesures proactives afin de bloquer toute faille de sécurité avant qu’elle ne se produise.
La solution Red Hat Trusted Software Supply Chain propose des logiciels et des services qui visent à améliorer la résilience d’une entreprise face aux vulnérabilités, notamment en lui permettant d’identifier et de traiter les problèmes potentiels au plus tôt, puis de les contrer avant qu’ils ne puissent être exploités. Les entreprises sont donc désormais en mesure de coder, de construire, de déployer et d’effectuer une surveillance efficace de leurs logiciels à l’aide de plateformes éprouvées, de contenus fiables et d’analyses de sécurité et de remédiation en temps réel.
Conçu à partir du projet open source Sigstore fondé par Red Hat et faisant désormais partie de l’Open Source Security Foundation, Red Hat Trusted Artifact Signer renforce la fiabilité des artefacts logiciels qui circulent dans la chaîne d’approvisionnement des logiciels en permettant aux développeurs et aux différentes parties prenantes de signer et de vérifier ces artefacts de manière cryptographique à l’aide d’une Autorité de Certification (CA) sans clé. En outre, grâce à un schéma fondé sur l’identité intégré à OpenID Connect, les entreprises peuvent se fier davantage à l’authenticité et à l’intégrité de leur chaîne d’approvisionnement des logiciels, sans avoir à gérer un Key Management System (système de gestion des clés ou KMS) centralisé.
Par ailleurs, les équipes de développement et de sécurité ont également besoin de disposer de visibilité et d’informations sur le profil de risque de la base de code d’une application afin de pouvoir identifier et atténuer les menaces et les vulnérabilités de manière proactive. À cette fin, Red Hat Trusted Profile Analyzer simplifie la gestion des vulnérabilités en fournissant une source unique de vérité (SSOT) pour les documents de sécurité, y compris la nomenclature logicielle Software Bill of Materials (SBOM) et l’avis de sécurité Vulnerability Exploitability Exchange (VEX). Les entreprises peuvent ainsi gérer et analyser la composition des actifs logiciels et des documents pour les logiciels personnalisés, tiers et open source sans ralentir le développement ou augmenter la complexité opérationnelle.
En outre, Red Hat Trusted Application Pipeline combine les capacités de Red Hat Trusted Profile Analyzer et de Red Hat Trusted Artifact Signer, ainsi que la plateforme de développement interne Red Hat Developer Hub, afin de fournir des capacités de chaîne d’approvisionnement des logiciels orientés sécurité et pré-intégrées dans des modèles en libre-service à destination des développeurs. Red Hat Trusted Application Pipeline consiste en un portail de développement central de modèles de logiciels validés et de garde-fous intégrés qui normalisent et accélèrent l’intégration de Golden Paths privilégiant la sécurité afin de renforcer la fiabilité et la transparence au moment du codage.
Les entreprises peuvent s’orienter vers cette offre pour vérifier la conformité du pipeline et assurer la traçabilité et l’auditabilité du processus CI/CD grâce à une chaîne de confiance automatisée chargée de valider les signatures des artefacts et de fournir la provenance et les attestations. Par ailleurs, grâce à l’analyse des vulnérabilités et au contrôle des politiques de sécurité effectué directement à partir du pipeline, les contrats d’entreprise peuvent empêcher toute activité de construction suspecte d’être bientôt envoyée en production.
Ces offres sont disponibles en tant que capacités autogérées sur site et peuvent être associées à des plateformes d’application telles que Red Hat OpenShift, ou consommées séparément, offrant ainsi aux développeurs toute la flexibilité et la liberté de choix nécessaires pour répondre à leurs besoins spécifiques.
Disponibilité
Les solutions Red Hat Trusted Artifact Signer et Red Hat Trusted Application Pipeline sont désormais disponibles au grand public. Red Hat Trusted Profile Analyzer est actuellement disponible en tant qu’aperçu technologique et sera disponible au grand public au cours du trimestre.