Amsterdam, 18 april 2024 – Red Hat, Inc., wereldwijd de grootste leverancier van open source-oplossingen, kondigt vandaag updates aan voor Red Hat Trusted Software Supply Chain. De nieuwe oplossingen versterken het vermogen van klanten om security te integreren in het softwareontwikkelingsproces, zodat ze de veiligheid eerder in de supply chain kunnen borgen en kunnen voldoen aan regelgeving en compliance-standaarden.
Volgens analysebureau IDC zal tegen 2027 driekwart van de CIO's securitymaatregelen direct in systemen en processen integreren om proactief kwetsbaarheden te verhelpen.* In een verschuiving van reactieve naar proactieve strategie, integreren organisaties steeds vaker veiligheidsprotocollen direct in hun softwareprocessen om breuken te voorkomen.
Red Hat Trusted Software Supply Chain levert software en diensten die de weerbaarheid tegen kwetsbaarheden van deze organisaties verhoogt, zodat potentiële problemen vroegtijdig kunnen worden geïdentificeerd en gemitigeerd voordat ze kunnen worden uitgebuit.
1. Red Hat Trusted Artifact Signer
Red Hat Trusted Artifact Signer is gebaseerd op het open source
Sigstore-project dat is opgericht bij Red Hat en nu onderdeel is van de
Open Source Security Foundation. Deze oplossing stelt ontwikkelaars en belanghebbenden in staat om artefacten cryptografisch te ondertekenen en te verifiëren met behulp van een sleutelloos certificaat. Dankzij deze identiteitsgebaseerde ondertekening via een integratie met OpenID Connect kunnen organisaties met vertrouwen de authenticiteit en integriteit van hun software supply chain garanderen, zonder de overhead en administratieve last van een gecentraliseerd sleutelbeheersysteem.
2. Red Hat Trusted Profile Analyzer
Development- en securityteams hebben inzicht nodig in het risicoprofiel van de applicatiecode, zodat dreigingen en kwetsbaarheden proactief kunnen worden geïdentificeerd en geminimaliseerd. Red Hat Trusted Profile Analyzer vereenvoudigt het beheer van kwetsbaarheden door een basis te bieden voor securitydocumentatie, inclusief de Software Bill of Materials (SBOM) en Vulnerability Exploitability Exchange (VEX). Organisaties kunnen hiermee de samenstelling van software-assets beheren en analyseren, net als de documentatie van maatwerk software, software van derden en open-source software, zonder de ontwikkeling te vertragen of de operationele complexiteit te verhogen.
3. Red Hat Trusted Application Pipeline
Red Hat Trusted Application Pipeline combineert de kracht van Red Hat Trusted Profile Analyzer en Red Hat Trusted Artifact Signer met het development platform
Red Hat Developer Hub. Die combinatie biedt nieuwe mogelijkheden om de security van de software supply chain te versterken. Deze zijn geïntegreerd in kant-en-klare templates voor ontwikkelaars. Red Hat Trusted Application Pipeline bestaat uit een centrale hub met gevalideerde softwaretemplates en geïntegreerde guardrails, waarmee ontwikkelaars efficiënter best practices kunnen toepassen voor meer vertrouwen en transparantie tijdens het coderen.
Organisaties kunnen de nieuwe oplossingen inzetten voor handhaving van compliance in de software pipeline en het vergroten van het auditgemak van het CI/CD-proces. Wanneer ook vulnerability scanning en checks op beleid met behulp van enterprise contracten in de CI/CD-pipeline worden ingebed, kan verdachte code in de ontwikkelomgeving worden geblokkeerd nog voordat deze naar de productieomgeving gaat.
Deze oplossingen zijn beschikbaar voor zelfbeheer in on-premises omgevingen en kunnen worden toegevoegd aan applicatieplatforms zoals Red Hat OpenShift óf apart worden ingezet, zodat ontwikkelaars de flexibiliteit en keuzevrijheid hebben om aan hun specifieke behoeften te voldoen.
Sarwar Raza, vice president en general manager van de Application Developer Business Unit bij Red Hat: “Organisaties willen de voortdurend veranderende beveiligingsrisico's in hun softwareontwikkeling beperken om het vertrouwen van gebruikers, klanten en partners te behouden en te vergroten. Red Hat Trusted Software Supply Chain is ontworpen om security naadloos te integreren in iedere fase van softwareontwikkeling. Van codering tot runtime helpen deze tools om de transparantie en het vertrouwen te vergroten. Daarnaast stellen ze DevSecOps-teams in staat om de basis te leggen voor een veiligere organisatie zonder negatieve impact op de snelheid van ontwikkelaars en hun cognitieve belasting.
Beschikbaarheid
Red Hat Trusted Artifact Signer en
Red Hat Trusted Application Pipeline zijn algemeen beschikbaar.
Red Hat Trusted Profile Analyzer is beschikbaar in preview – algemene beschikbaarheid wordt later dit kwartaal verwacht. Ga naar
red.ht/assured of het
Red Hat Customer Portal voor meer informatie.
*) IDC FutureScape: Worldwide CIO Agenda 2024 Predictions, Doc # US51294523, Oct. 2023
Over Red Hat
Red Hat is wereldwijd dé provider van enterprise open source software, met een community-gedreven aanpak voor de ontwikkeling van betrouwbare en goed presterende Linux-, hybride cloud-, container- en Kubernetes-technologieën. Red Hat helpt klanten met de integratie van nieuwe en bestaande IT-applicaties, ontwikkeling van cloud-native applicaties, standaardisatie op een toonaangevend besturingssysteem, en de automatisering, beveiliging en het beheer van complexe IT-omgevingen. Red Hat is een trusted advisor voor Fortune 500-bedrijven, dankzij bekroonde support-, trainings- en consultancydiensten. Lees voor meer informatie het Red Hat blog, of volg Red Hat op X, Facebook, YouTube en LinkedIn.
Als strategische partner van cloudproviders, system integrators, applicatievendoren, klanten en open source-communities, helpt Red Hat organisaties zich voor te bereiden op de digitale toekomst.
Toekomstgerichte verklaringen
Met uitzondering van de hierin opgenomen historische informatie, kunnen verklaringen in dit persbericht toekomstgerichte verklaringen zijn in lijn met de Private Securities Litigation Reform Act van 1995. Toekomstgerichte verklaringen zijn gebaseerd op de huidige veronderstellingen van de onderneming over toekomstige bedrijfs- en financiële prestaties. Deze verklaringen gaan gepaard met een aantal risico's, onzekerheden en andere factoren waardoor de werkelijke resultaten wezenlijk kunnen verschillen. Elke toekomstgerichte verklaring in dit persbericht geldt alleen op de datum waarop ze wordt gedaan. Behalve indien wettelijk vereist, neemt de onderneming geen enkele verplichting op zich om toekomstgerichte verklaringen bij te werken of te herzien.