Red Hat presenta solución para la cadena de suministro de software

Red Hat, el principal proveedor de soluciones de código abierto a nivel mundial, ha anunciado Red Hat Trusted Software Supply Chain, una solución que mejora la resiliencia frente a las vulnerabilidades de la cadena de suministro de software.

Como parte de esta solución, dos nuevos servicios en la nube, Red Hat Trusted Application Pipeline y Red Hat Trusted Content, se unen en preview mode a los servicios de software y en la nube ya existentes de Red Hat, incluidos Quay y Advanced Cluster Security (ACS), para impulsar la adopción eficaz de prácticas DevSecOps e integrar la seguridad en el ciclo de vida de desarrollo de software.

Con Red Hat Trusted Software Supply Chain, los clientes pueden codificar, crear y supervisar su software de forma más rápida y eficiente utilizando plataformas probadas, contenido de confianza y análisis y soluciones de seguridad en tiempo real. La solución se basa en los más de 30 años de confianza que tienen los clientes y el sector en Red Hat, la cual ha conseguido gracias al suministro constante de soluciones de código abierto reforzadas que facilitan a las empresas acelerar la adopción de la nube híbrida y, al mismo tiempo, mantener una postura de seguridad de TI eficaz.

Red Hat Trusted Software Supply Chain

Con un 75% de las bases de código de las aplicaciones compuestas ahora por código open source, estos componentes están sometidos a un mayor escrutinio, especialmente porque los ataques a la cadena de suministro de software se han disparado un 742% desde 2020. Los clientes buscan integrar reglas en su cadena de suministro de software y ciclos de vida de desarrollo para acelerar la innovación sin comprometer la seguridad.

El software y los servicios suministrados como parte de Red Hat Trusted Software Supply Chain aumentan la resiliencia de una organización frente a las vulnerabilidades en el ciclo de vida de desarrollo del software moderno. Red Hat Trusted Content se desarrolla en una base de software de sistemas de seguridad mejorada, con miles de paquetes de confianza sólo en Red Hat Enterprise Linux y un catálogo de tiempos de ejecución de aplicaciones críticas en los ecosistemas Java, Node y Python. El servicio proporciona a los clientes contenido de confianza reforzado para empresas y conocimientos sobre los paquetes de código abierto de las aplicaciones de los clientes.

La base de Red Hat Trusted Application Pipeline es fruto del trabajo fundacional de Red Hat en la creación, lanzamiento y mantenimiento de sigstore, que proporciona un estándar de libre disposición para la firma segura nativa en la nube, además de proporcionar piezas críticas de infraestructura de seguridad compartida a muchas comunidades ascendentes. Trusted Application Pipeline ofrece un servicio de integración y distribución continuas (CI/CD) que simplifica la adopción de los procesos, tecnologías y conocimientos que Red Hat utiliza para crear software de producción.

Unir la innovación del software con la seguridad del código fuente

Disponible como service preview en las próximas semanas, Red Hat Trusted Content proporcionará a los desarrolladores información en tiempo real sobre vulnerabilidades conocidas y riesgos de seguridad en sus dependencies de software de código abierto. El servicio también sugerirá soluciones disponibles para minimizar los riesgos, ayudando a reducir el tiempo y los costes de desarrollo. Red Hat Trusted Content proporciona acceso a contenido de software de código abierto creado y curado por Red Hat, con procedencia y certificación, utilizando las mejores prácticas internas de Red Hat. Una vez la aplicación está en producción, el servicio supervisa de forma proactiva y alerta a los usuarios de los nuevos y emergentes riesgos conocidos en sus dependencies de código abierto, lo que permite una corrección más rápida de las amenazas emergentes.

Red Hat Trusted Application Pipeline, disponible hoy como service preview, ayuda a los clientes a mejorar la seguridad de las cadenas de suministro de software de aplicaciones con un canal de CI/CD integrado. Las aplicaciones pueden crearse de forma más eficaz e integrarse más fácilmente en contenedores Linux y, a continuación, desplegarse en Red Hat OpenShift u otras plataformas Kubernetes con tan solo unos clics. Anteriormente, se trataba a menudo un proceso muy manual, con cientos de líneas de código de automatización necesarias para crear, probar y desplegar aplicaciones en contenedores. Este manual de procesos introduce el potencial de fricción y error humano, añadiendo nuevos puntos de riesgo y ralentizando la velocidad general.

Con Red Hat Trusted Application Pipeline, los clientes de Red Hat pueden:

●        Importar repositorios git y configurar pipelines de creación, pruebas y despliegue continuos nativos de contenedores a través de un servicio en la nube en tan solo unos pasos.

●        Inspeccionar el código fuente y las dependencies transitivas

●        Auto generar las listas de materiales de software (SBOM) en las compilaciones

●        Verificar y promover imágenes de contenedores mediante un motor de políticas de criterios de publicación que ayuda a confirmar la consistencia con los estándares de la industria, como los niveles de cadena de suministro para artefactos de software (SLSA).