Überblick
Das Produktsicherheitsteam von Red Hat ist seit über 20 Jahren für das Schwachstellenmanagement zuständig. Red Hat kümmert sich um mehr als nur die Behandlung von Schwachstellen beim Release. Wir arbeiten mit der gesamten Produktlieferkette und sorgen in allen Schritten vor und während des Releases für Sicherheit. Bei Product Security werden Prozesse und Pläne verwendet, die in den besten Sicherheitspraktiken und -standards resultieren, um unsere Kunden, Mitwirkenden und Partner vor digitalen Sicherheitsbedrohungen zu schützen.
Sicherheit bei technischen Standards
Der interne technische Standard von Red Hat, Secure Software Management Lifecycle (SSML), bietet klare technische Anforderungen, mit denen Software oder Services von Red Hat die Vorschriften und Standards der Sicherheitsbranche erfüllen können. SSML:
orientiert sich amSecure Software Development Framework (SSDF) und den Supply Chain Levels for Software Artifacts (SLSA). Er verdeutlicht außerdem die für die einzelnen SSDF- oder SLSA-Aufgaben geltenden Standards von Red Hat
enthält Verweise auf branchenweit anerkannte, gute Sicherheitsentwicklungspraktiken und -kontrollen, um die Erwartungen in Bezug auf Standards und Nachweise besser zu kodifizieren.
Die auf SSML basierende Implementierungsanleitung von Red Hat muss von sämtlichen Softwarelösungen oder Services von Red Hat befolgt werden:
Der Secure Development Lifecycle (SDL)von Red Hat definiert für das Engineering eindeutig, wie die sicheren Entwicklungsstandards des SSML erfüllt werden sollen: was von wem und wie zu tun ist. Die Vorgehensweisen im SDL von Red Hat sorgen dafür, dass die Sicherheit in sämtliche Phasen des Softwareentwicklungsprozesses integriert ist.
Security Operating Approval (SOA) ist die Überprüfung der Infrastruktur und der zugehörigen Tools von Red Hat, die in die Produktisierungs-Pipelines von Red Hat eingebunden sind, um die Einhaltung von Sicherheitskontrollen, -richtlinien und -verfahren zu messen. Dies stellt die Zusammenstellung, Entwicklung und Bereitstellung von qualitativ hochwertigen Produkten und Services sicher.
- DerVulnerability and Incident Response Plan (IRP) bereitet Red Hat über die Produktsicherheit proaktiv auf die effektive Bewältigung von Sicherheitsvorfällen vor. Der IRP (Incident Response Plan) stellt sicher, dass Sicherheitsprobleme im Zusammenhang mit Produkten und Services von Red Hat zeitnah behandelt werden.
Sicherheit im Produktpfad:
Bei Red Hat wird Sicherheit in sämtlichen Phasen eingesetzt. Wir sehen Sicherheit als einen Prozess und nicht als Produkt. Das folgende Diagramm bietet einen allgemeinen Überblick über die Sicherheitskontrollen von Red Hat im Produktpfad.
