A Red Hat lançou o Red Hat Trusted Software Supply Chain, uma solução que visa aumentar a resiliência contra vulnerabilidades na cadeia de suprimentos de software. Como parte dessa ferramenta, foram adicionados dois novos serviços de nuvem: Red Hat Trusted Application Pipeline e Red Hat Trusted Content. Esses serviços se juntam aos serviços de software e nuvem que a Red Hat já oferece, incluindo Quay e Advanced Cluster Security (ACS), para promover uma adoção bem-sucedida de práticas de DevSecOps e incorporar segurança em cada estágio do ciclo de vida do desenvolvimento de software.
Com o Red Hat Trusted Software Supply Chain, os clientes podem codificar, construir e monitorar seus softwares com mais rapidez e eficiência usando plataformas comprovadas, conteúdo certificado e varredura e correção de segurança em tempo real. A solução é resultado da confiança de que clientes e setores vêm depositado na Red Hat há mais de 30 anos, por meio do fornecimento consistente de soluções de open source que ajudam empresas a acelerar a adoção da nuvem híbrida, mantendo uma postura de segurança de TI eficaz.
Com 75% das bases de códigos de aplicações agora compostas por código open source, reguladores e agências governamentais estão prestando cada vez mais atenção a esses componentes, especialmente porque os ataques à cadeia de suprimentos de software aumentaram um de 742% desde 2020. Para ajudar a reduzir esses riscos, usuários estão buscando integrar medidas de segurança em suas cadeias de suprimentos de software e ciclos de vida de desenvolvimento, de forma a acelerar a inovação sem comprometer sua segurança empresarial.
Os softwares e serviços oferecidos como parte do Red Hat Trusted Software Supply Chain aprimoram a capacidade de uma organização lidar com vulnerabilidades em todas as etapas do moderno ciclo de vida do desenvolvimento de software. Sua base é composta de conjunto de softwares habilitados com recursos de segurança avançados, contendo mais de 10 mil pacotes confiáveis somente no Red Hat Enterprise Linux, além de um catálogo de tempos de execução de aplicações críticas nos ecossistemas Java, Node e Python. O serviço tem como objetivo proporcionar aos clientes a maior biblioteca de conteúdo confiável do setor.
A base do Red Hat Trusted Application Pipeline vem do trabalho fundamental da Red Hat na criação, lançamento e manutenção do sigstore, que oferece um modelo de acesso livre para uma adoção nativa em nuvem segura, além de fornecer componentes fundamentar para diversas comunidades upstream. O Trusted Application Pipeline oferece um serviço de Integração Contínua/Entrega Contínua (CI/CD) com foco na segurança, simplificando a adoção dos processos, tecnologias e expertise utilizados pela Red Hat no desenvolvimento de software em produção.
Nas próximas semanas, o Red Hat Trusted Content estará disponível como uma prévia do serviço, fornecendo aos desenvolvedores informações em tempo real sobre vulnerabilidades conhecidas e riscos de segurança presentes em suas dependências de software de open source. Além disso, o serviço oferecerá sugestões de possíveis soluções que visam minimizar riscos, ajudando a reduzir o tempo e o custo de desenvolvimento.
O Red Hat Trusted Content disponibiliza acesso a conteúdo de software de open source criado e selecionado pela Red Hat com total transparência e comprovação, seguindo as melhores práticas internas da líder de open source para atender requisitos regulatórios e de conformidade. Após o desenvolvimento, o serviço monitora de forma proativa e alerta os usuários sobre novos riscos em suas dependências, permitindo uma solução mais rápida para as ameaças que estão surgindo.
O Red Hat Trusted Application Pipeline, também já disponível em versão beta, ajuda clientes a fortalecer a segurança das cadeias de suprimentos de software de aplicativos por meio de um pipeline integrado de Integração Contínua/Entrega Contínua (CI/CD).
As aplicações podem ser construídas com maior segurança e integradas facilmente a containers Linux, sendo posteriormente implantadas no Red Hat OpenShift ou em outras plataformas Kubernetes com apenas alguns cliques. Anteriormente, esse processo era feito de forma manual e, na maioria das vezes, exigia a escrita de centenas de linhas de código de automação para a construção, teste e implantação de aplicações em conteinerizadas. Isso abria possibilidades de atrito e erros humanos, introduzindo novos pontos de risco e desacelerando o desenvolvimento.
