Geliştiricilerin açık kaynak bileşenlerine dayanan uygulamaları güvenli bir şekilde oluşturmasına ve dağıtmasına yardımcı olmak amacıyla Red Hat, şirketin on yıllardır kendi yazılımını oluşturmak, izlemek ve dağıtmak için kullandığı tasarım gereği güvenli başucu kitabını açıkladı. Şirket, bu hafta Boston’da düzenlenen Red Hat Zirvesi’nde, şirket içinde kullandığı programlama araçlarını ve metodolojilerini temel alan ve dört hizmetten oluşan Red Hat Güvenilir Yazılım Tedarik Zinciri’ni tanıttı.
Yazılım tedarik zinciri güvenliğine odaklanma iki eğilimi yansıtıyor: ağırlıklı olarak açık kaynaklı bileşenlerle oluşturulmuş bulut yerel uygulamalara geçişi benimseyen kuruluşlar ve bu bileşenlerdeki güvenlik açıklarını hedef alan artan sayıda siber saldırı. ABD federal hükümeti, kuruluşları tasarım gereği güvenli ve varsayılan olarak güvenli yazılım geliştirme süreçleri uygulamaya zorluyor. Cybersecurity & Infrastructure Security Agency (CISA), National Security Agency (NSA) ve FBI, geçen ay Secure-by-Design ve Default İlkeler ve Yaklaşımlar kılavuzunu yayınlamak için küresel muadilleriyle bir araya geldi.
Red Hat’in bulut hizmetleri genel müdürü Sarwar Raza, “Açık kaynaklı bir tedarik zincirinin güvenliği konusunda Red Hat’e güvenmek, temelde son 30 yıldır müşterilerimize sunduğumuz şeyin devamıdır” diyor. “Şirket içinde kullandığımız CI/CD yetenekleriyle birlikte bu yeteneği de aldık ve şimdi süreçlerimizi, teknolojimizi ve uzmanlığımızı müşterilerimize sunuyoruz, böylece yazılımınızı güvenli hale getirip geliştirebilirsiniz. aynı bizim yaptığımız gibi.”
Red Hat’in Dört Temel Hizmetinin Önizlemesi
Red Hat Güvenilir Yazılım Tedarik Zincirindeki dört hizmetten ikisi — Red Hat Güvenilir Uygulama Hattı ve Red Hat Güvenilir İçerik — önizleme sürümleri olarak mevcuttur. Üçüncüsü olan Red Hat Advanced Cluster Security Bulut Hizmeti, Kubernetes tabanlı, bulut yerel uygulama güvenliğini güvenli bir şekilde oluşturmak, dağıtmak ve sürdürmek için yönetilen bir hizmettir. Son olarak Quay, 2018’de CoreOS’u satın aldıktan sonra Red Hat’in devraldığı CoreOS tarafından 2014’te satın alınan kurumsal kayıt defteridir.
Raza, teklifin yalnızca Red Hat Enterprise Linux’ta binlerce güvenilir paketin yanı sıra Java, Node ve Python’da kritik uygulama çalıştırma zamanları kataloğu içerdiğini söylüyor. “Hizmet yalnızca güçlendirilmiş, güvenilir içerik sağlamakla kalmıyor, aynı zamanda bilgi de sağlıyoruz” diyor.
Red Hat Güvenilir Uygulaması, bu bilgiyi kullanarak yazılım malzeme listelerini (SBOM’ler) otomatik olarak oluşturabilir. Raza, “Bir müşteri olarak, bu yazılım paketlerinin güvenliğini kanıtlayan eserleri alıp denetçilere veya düzenleyicilere sunabilir ve ardından onların gereksinimlerini karşılayabilirsiniz” diyor.
Red Hat Güvenilir Uygulama Boru Hatları, Red Hat’in başlattığı ve o zamandan beri Linux Foundation’a devrettiği açık kaynaklı bir proje olan sigstore üzerine kuruludur; sigstore artık bulutta yerel güvenlik imzalama için ücretsiz olarak kullanılabilen bir standarttır. Application Pipelines, geliştirme sürecinin birden çok aşamasını yönetir.
Kodlama aşamasında Red Hat, bağımlılıkları analiz etmeyi ve geliştiricileri alternatif bileşenlere yönlendiren tüm güvenlik açıklarına karşı uyarıyı içeren yazılım kompozisyonu analizi gerçekleştiren bir geliştirici eklentisi sağlar. İnşa aşamasında Red Hat Application Pipelines, sisteme beslenen bir kurumsal sözleşme oluşturur. Raza, “Bu temelde korkulukları ve uygulanacak standartları belirliyor” diyor.
SBOM’ları Otomatik Olarak Oluşturma
Red Hat Trusted Pipelines ayrıca her derleme için yazılım malzeme listelerini (SBOM’ler) otomatik olarak oluşturur. Raza, “SBOM’lar, güvenlik açığı bilgileri, bu paketlerle ilgili bilgiler, teklifin ayrılmaz bir parçasıdır” diyor. “Böylece bir müşteri olarak, bu yazılım paketlerinin güvenliğini kanıtlayan eserleri alabilir, denetçilere veya düzenleyicilere sunabilir ve ardından onların gereksinimlerini karşılayabilirsiniz.”
IDC analisti Al Gillen, “Bu, birçok şirketin kendi ürünlerini güvenli bir şekilde oluşturabilmesi için gerçekten iyi bir başlangıç noktası” diyor. “Ama yine de kendi ürünlerini dağıtmak zorundalar ve dağıtım kanalları başka biri için ayrı bir tedarik zinciri.”
Red Hat’in açık kaynak altyapı pazarındaki önemi göz önüne alındığında, teklifleri Red Hat Enterprise Linux (RHEL) ve OpenShift üzerinde geliştirme yapanların geniş ekosistemine hitap etmeyi vaat ediyor, ancak ikisini de gerektirmiyor. Ayrıca Black Duck (artık Özet), Mend ve Snyk gibi şirketlerden SCA teklifi sağlayıcıları için yıkıcı olabilir.
Omdia analisti Rik Turner, “Red Hat’in sunduğu şey, OpenShift müşterilerinin uygulamalarını oluştururken yararlanabilecekleri, derlenmiş OSS bileşenlerinden oluşan bir havuzdur” diyor. “Bu kesinlikle onlar için değerli olacak, hatta potansiyel olarak kendi kodlarının arasına neyi gömdüklerini kontrol etmek için SCA platformlarının kullanılması ihtiyacını ortadan kaldıracak.”