Açık kaynak çözümlerinde dünya lideri Red Hat, yazılım tedarik zincirindeki zafiyetlere karşı dayanıklılığı artıracak çözümü Red Hat Trusted Software Supply Chain’i duyurdu. Bu çözümün bir parçası olarak da DevSecOps çalışmalarının başarıyla benimsenmesini ve güvenliği yazılım geliştirme yaşam döngüsüne dahil edilmesini hızlandırmak için iki yeni bulut hizmeti Red Hat Trusted Application Pipeline ve Red Hat Trusted Content de öngösterim modunda Quay ve Advanced Cluster Security (ACS) gibi mevcut Red Hat yazılım ve bulut hizmetlerine ekliyor.
Red Hat Trusted Software Supply Chain ile müşteriler güvenilir platformları, güvenilir içerikleri ve gerçek zamanlı güvenlik tarama ve tehdit giderme imkanlarını kullanarak yazılımlarını kodlama, oluşturma ve gözlemleme süreçlerini daha hızlı ve verimli bir şekilde gerçekleştirebiliyor. 30 yıldan uzun süredir müşterilerinden ve sektöründen edindiği güven üstüne kurulan Trusted Software Supply Chain ile Red Hat, şirketlerin hibrit bulutu daha hızlı benimsemesine yardımcı olurken BT güvenlik yapılarını da verimli bir şekilde sürdürmelerini sağlayan güçlendirilmiş açık kaynak çözümleri sağlıyor.
Red Hat Trusted Software Supply Chain
Uygulama kod tabanının yüzde 75’inin açık kaynak kodlarıyla oluşmasıyla ve 2020’den bu yana yazılım tedarik zincirlerine yönelik saldırıların yüzde 742 artmasıyla birlikte bu bileşenler dikkatle inceleniyor.
Red Hat Trusted Software Supply Chain’in bir parçası olarak sunulan yazılımlar ve hizmetler, şirketlerin modern yazılım geliştirme yaşam döngüsündeki zafiyetlere karşı dayanıklılığını artırıyor. Red Hat Trusted Content sadece Red Hat Enterprise Linux’ta binlerce güvenilir paket ile birlikte Java, Node ve Python ekosistemlerinde kritik uygulama çalıştırma zamanları kataloğu sayesinde güvenliği iyileştirilmiş sistemlerin yazılımını temel olarak oluşturuluyor. Bu hizmet, müşterilere uygulamalarındaki açık kaynaklı paketler için kurumsal olarak güçlendirilmiş güvenilir içerik ve bilgi sağlıyor.
Red Hat Trusted Application Pipeline’ın temeli de Red Hat’in bulutta yerel güvenli imzalama için serbestçe kullanılabilen bir standart sağlamanın yanı sıra birçok yukarı akış topluluğuna kritik paylaşılan güvenlik altyapısı parçaları sağlayan sigstore’un oluşturulması, çalıştırılması ve bakımında üstlendiği temel rolden geliyor. Trusted Application Pipeline, Red Hat’in üretim yazılımı oluşturmak için kullandığı süreçlerin, teknolojilerin ve uzmanlığın benimsenmesini basitleştiren ve güvenliği öne çıkaran bir Sürekli Entegrasyon/Sürekli Teslim (CI/CD) hizmeti sunuyor.
Yazılım inovasyonunu kaynak kodu güvenliğiyle birleştiriyor
Önümüzdeki haftalarda hizmet öngösterimi olarak erişime açılacak Red Hat Trusted Content geliştiricilere kullandıkları açık kaynak yazılımlarda bilinen zafiyetlere ve güvenlik risklerine dair gerçek zamanlı bilgiler paylaşacak. Hizmet aynı zamanda riskleri en aza indirmek için alınabilecek aksiyonları da önererek geliştirme süresini ve maliyetleri azaltacak. Red Hat Trusted Content, Red Hat’in dahili en iyi yöntemlerini kullanarak şirketin oluşturduğu ve düzenlediği açık kaynak içeriklere erişim de sağlayacak. Bir uygulama üretime girdikten sonra hizmet, proaktif olarak gözlemlemelerini yapacak ve kullandıkları açık kaynak hizmetlerde yeni ve büyüyen bir risk oluştuğunda kullanıcıyı bilgilendirerek tehditlerin daha kısa sürede ortadan kalkmasına yardımcı olacak.
Hizmet öngösterimi olarak erişilebilir olan Red Hat Trusted Application Pipeline, müşterilerin uygulama yazılım tedarik zinciri güvenliğini entegre CI/CD akışıyla iyileştirmesine yardımcı oluyor. Uygulamalar da daha etkili bir şekilde oluşturulabiliyor ve Linux konteynerlerine daha kolay entegre edilebiliyor. Devamında da Red hat OpenShift veya diğer Kubernetes platformlarında birkaç tık ile hizmete alınabiliyor. Önceden konteynerleştirilmiş uygulamaları oluşturmak, test etmek ve hizmete almak için gereken yüzlerce satırlık otomasyon kodunu yazmak genelde son derece manuel işleyen bir süreçti. Bu manuel süreç, yeni risklere kapı aralayarak ve süreci yavaşlatarak insan hatasından kaynaklanabilecek sorunların oluşmasına neden olabiliyordu.
Red Hat Trusted Application Pipeline ile Red Hat müşterileri:
- Sadece birkaç adım ile bulut hizmeti üzerinden git depolarını içeriye aktarabiliyor, konteynerlere özel sürekli oluşturma, test etme ve hizmete alma akışlarını yapılandırabiliyor,
- Açık kaynak kodunu ve geçişli yazılımları inceleyebiliyor,
- Sürüm içinde kod tabanının eksiksiz envanterini (Yazılım Ürün Ağacı, Software Bills of Materials) otomatik olarak oluşturabiliyor ve
- Üretim sırasında oluşan yazılım ürünleri (Software Artifact) için Tedarik Zinciri Düzeyleri (Supply chain Levels for Software Artifacts, SLSA) gibi endüstri yapılarıyla tutarlılığı doğrulamaya yardımcı olan sürüm kriter ilke motorunu (release criteria policy engine) kullanarak konteyner imajlarını doğrulayabiliyor ve öne çıkartabiliyor.
Red Hat Başkan Yardımcısı ve Bulut Hizmetleri Genel Müdürü Sarwar Raza, konuyla ilgili şunları söylüyor: “BT şirketleri sadece üretim uygulamalarını oluşturması değil, nihai ürünü oluşturan bileşenlerin güvenliğini de artırması gerekiyor. Açık kaynak bileşenlerinin çıkış noktasını doğrularken teslim akışında hareket eden kodu ve akışın kendisini taramak ve çevik geliştirme ve teslim uygulamalarını zorunlu kılmak, CIO’lar için önemli bir zorluk olabilir. Red Hat Trusted Software Supply Chain, Red Hat’in açık kaynak yazılım tedarik zincirlerindeki onlarca yıllık deneyimini kolayca entegre edilen ve kolayca tüketilen hizmetler halinde kodlayarak üretim uygulamaları etrafında güven oluşturmakla kalmayıp aynı zamanda bunları pazara daha hızlı bir şekilde sunmaya da yardımcı olarak bu ihtiyaçları gidermek için tasarlandı.”
IDC Geliştirme ve Açık Kaynak Grup Başkan Yardımcısı Al Gillen ise görüşlerini şu şekilde aktarıyor: “Tedarik zincir güvenliği, içinde açık kaynak ürünü bulunan veya bu ürünlerden avantaj kazanan misyon-kritik sistemlerin ve uygulamaların sayısını artıran BT şirketlerinin günümüzde karşılaştığı en önemli önceliklerden birisi. Red Hat Trusted Software Supply Chain Security, Red Hat’in uzun süredir devam eden dahili tedarik zinciri akışlarının ve süreçlerinin üzerine kuruluyor ve güvenli modern uygulamalar oluşturma konusunda sektör için ileriye doğru atılmış büyük bir adım olarak öne çıkıyor. Bu ürünün Red Hat’in çözüm setini geliştirici topluluğuna mevcut Red Hat ekosisteminin ötesinde açması, yani sadece RHEL geliştiricilerinin değil, her modern uygulama geliştiricisinin bu çözümden yararlanabilmesi de bir o kadar önemli.”