在软件供应链攻击激增之际,红帽在近日举行的年度Red Hat Summit峰会上, 推出了Trusted Software Supply Chain,该产品包含两项新的云服务,分别是Red Hat Trusted Application Pipeline和Red Hat Trusted Content.。
软件供应链攻击发生在恶意代码插入来自受信任提供商的软件中时,通常是在分发或者更新过程中。随着开源代码的迅速普及,这个问题也变得尤为紧迫,现在几乎每个软件包中都可以找到开源代码,无论是什么许可。
Synopsys曾在2022年对2400多个商业代码库进行的分析发现,其中97%的商业代码库中包含了开源组件,81%的商业代码库中至少存在一个漏洞,近90%的应用中有两年多未更新的组件。
“几乎没有护栏”
“我们生活在一个几乎没有护栏的世界;开发者可以从未经验证的来源提取内容,将其放入管道中,再部署到生产环境中,这样你就有了一个漏洞或者潜在的漏洞,”红帽公司云服务总经理Sarwar Raza这样表示。
红帽称,注意到过去三年中每年供应链攻击数量都同比增长超过740%,因此红帽将提供一个目录,其中包含了10000多个运行在Red Hat Enterprise Linux上的受信软件包,以及关键应用程序运行时的目录,覆盖了Java、Node和Python生态系统。
Trusted Application Pipeline基于Sigstore,这是一种对软件组件进行数字签名和检查以验证来源和真实性的自动化方法——开发者认为这几乎是不可能被破坏的。这种管道是一种持续集成/持续交付的机制,可以对采用与Red Hat用于构建生产软件相同的流程、技术和专业知识进行简化。
客户将能够使用Trusted Application Pipeline导入git存储库,并通过一项云服务配置容器原生持续构建、测试和部署管道,检查源代码和传递依赖性,在构建过程中自动生成软件物料清单,并通过一种企业合同政策引擎验证和推进容器镜像,该引擎有助于确认与软件工件供应链级别等行业标准的一致性。
SBOM越来越多地被用于防止供应链攻击,并在美国2021年5月发布的关于改善国家网络安全的行政命令中被称为保护软件供应链的关键。美国国家标准与技术研究院、食品药品监督管理局和几个欧洲政府现在都强烈鼓励使用SBOM。
安全目录
Red Hat Trusted Content将作为一项服务预览在几周内提供给用户,将提供开源软件依赖项中已知漏洞和安全风险的实时知识,还将建议如何最大限度地降低风险,并使用企业内部的最佳实践提供对Red Hat构建的开源软件的访问。
Raza说:“我们基本上是在为所有成千上万的开源软件包明确证明信任点,现在你可以从红帽获得这些软件包。我们希望能够为客户提供额外的保证,即他们正在部署的字位实际上是安全可靠的,如果以后确实出现漏洞,我们可以把他们指向最佳内容来源,以及对这些问题的补救措施和情报信息。”
简而言之,Trusted Supply Chain产品将让开发者“能够像我们在Red Hat所做的那样,向您的客户提供有关您刚刚构建的软件的出处信息,”Red Hat公司产品管理总监Sudhir Prasad这样表示。
他说,红帽相信,凭借数十年的经验,将很好地兑现承诺。他说,竞争对手“不一定拥有已建立起的信任和内容库,以及有关解决大问题的所有内容信息”。
托管Kubernetes的安全性
在安全领域,红帽还推出了Advanced Cluster Security Cloud Service,该服务以托管云服务的方式提供Kubernetes软件容器编排器的原生安全功能。Red Hat公司表示,该产品独立于底层Kubernetes平台,可以在几分钟内部署完成。
该服务支持私有云和公有云上的Red Hat OpenShift以及主要云提供商的Kubernetes服务,包括AWS的Elastic Kubernetes Service、Google的Kubernetes Engine和微软的Azure Kubernetes Service。
该服务由Red Hat两年前收购的容器和Kubernetes威胁检测公司StackRox开发,把Kubernetes原生安全性构建到整个应用和平台的生命周期中,并帮助组织改进DevSecOps规程,其中把安全性集成到了开发者的工具和工作流中。