在軟體供應鏈攻擊激增之際,紅帽在近日舉行的年度Red Hat Summit峰會上, 推出了Trusted Software Supply Chain,該產品包含兩項新的雲服務,分別是Red Hat Trusted Application Pipeline和Red Hat Trusted Content.。
軟體供應鏈攻擊發生在惡意代碼插入來自受信任提供商的軟體中時,通常是在分發或者更新過程中。隨著開源代碼的迅速普及,這個問題也變得尤為緊迫,現在幾乎每個軟體包中都可以找到開源代碼,無論是什麼許可。
Synopsys曾在2022年對2400多個商業代碼庫進行的分析發現,其中97%的商業代碼庫中包含了開源組件,81%的商業代碼庫中至少存在一個漏洞,近90%的應用中有兩年多未更新的組件。
「幾乎沒有護欄」
「我們生活在一個幾乎沒有護欄的世界;開發者可以從未經驗證的來源提取內容,將其放入管道中,再部署到生產環境中,這樣你就有了一個漏洞或者潛在的漏洞,」紅帽公司雲服務總經理Sarwar Raza這樣表示。
紅帽稱,注意到過去三年中每年供應鏈攻擊數量都同比增長超過740%,因此紅帽將提供一個目錄,其中包含了10000多個運行在Red Hat Enterprise Linux上的受信軟體包,以及關鍵應用程序運行時的目錄,覆蓋了Java、Node和Python生態系統。
Trusted Application Pipeline基於Sigstore,這是一種對軟體組件進行數字簽名和檢查以驗證來源和真實性的自動化方法——開發者認為這幾乎是不可能被破壞的。這種管道是一種持續集成/持續交付的機制,可以對採用與Red Hat用於構建生產軟體相同的流程、技術和專業知識進行簡化。
客戶將能夠使用Trusted Application Pipeline導入git存儲庫,並通過一項雲服務配置容器原生持續構建、測試和部署管道,檢查源代碼和傳遞依賴性,在構建過程中自動生成軟體物料清單,並通過一種企業合同政策引擎驗證和推進容器鏡像,該引擎有助於確認與軟體工件供應鏈級別等行業標準的一致性。
SBOM越來越多地被用於防止供應鏈攻擊,並在美國2021年5月發布的關於改善國家網路安全的行政命令中被稱為保護軟體供應鏈的關鍵。美國國家標準與技術研究院、食品藥品監督管理局和幾個歐洲政府現在都強烈鼓勵使用SBOM。
安全目錄
Red Hat Trusted Content將作為一項服務預覽在幾周內提供給用戶,將提供開源軟體依賴項中已知漏洞和安全風險的實時知識,還將建議如何最大限度地降低風險,並使用企業內部的最佳實踐提供對Red Hat構建的開源軟體的訪問。
Raza說:「我們基本上是在為所有成千上萬的開源軟體包明確證明信任點,現在你可以從紅帽獲得這些軟體包。我們希望能夠為客戶提供額外的保證,即他們正在部署的字位實際上是安全可靠的,如果以後確實出現漏洞,我們可以把他們指向最佳內容來源,以及對這些問題的補救措施和情報資訊。」
簡而言之,Trusted Supply Chain產品將讓開發者「能夠像我們在Red Hat所做的那樣,向您的客戶提供有關您剛剛構建的軟體的出處資訊,」Red Hat公司產品管理總監Sudhir Prasad這樣表示。
他說,紅帽相信,憑藉數十年的經驗,將很好地兌現承諾。他說,競爭對手「不一定擁有已建立起的信任和內容庫,以及有關解決大問題的所有內容資訊」。
託管Kubernetes的安全性
在安全領域,紅帽還推出了Advanced Cluster Security Cloud Service,該服務以託管雲服務的方式提供Kubernetes軟體容器編排器的原生安全功能。Red Hat公司表示,該產品獨立於底層Kubernetes平台,可以在幾分鐘內部署完成。
該服務支持私有雲和公有雲上的Red Hat OpenShift以及主要雲提供商的Kubernetes服務,包括AWS的Elastic Kubernetes Service、Google的Kubernetes Engine和微軟的Azure Kubernetes Service。
該服務由Red Hat兩年前收購的容器和Kubernetes威脅檢測公司StackRox開發,把Kubernetes原生安全性構建到整個應用和平台的生命周期中,並幫助組織改進DevSecOps規程,其中把安全性集成到了開發者的工具和工作流中。
