Présentation
L'équipe chargée de la sécurité des produits de Red Hat s'occupe de la gestion des vulnérabilités depuis plus de 20 ans. Chez Red Hat, nous ne nous contentons pas de gérer les vulnérabilités. Nous travaillons avec l'ensemble des parties impliquées dans la chaîne d'approvisionnement des produits pour nous assurer que la sécurité est intégrée à chaque étape avant et après leur lancement. L'équipe Red Hat Product Security utilise des processus et des plans qui assurent l'application des meilleures pratiques et normes de sécurité afin de protéger nos clients, contributeurs et partenaires contre les menaces de sécurité numérique.
La sécurité dans les normes d'ingénierie
Nous avons développé une norme technique, nommée SSML (Secure Software Management Lifecycle) qui définit un ensemble clair d'exigences d'ingénierie pour garantir que les logiciels et services Red Hat respectent les réglementations et les normes du secteur en matière de sécurité. Voici les principales caractéristiques de cette norme :
Elle s'aligne sur les frameworks SSDF (Secure Software Development Framework) et SLSA (Supply-chain Levels for Software Artifacts) et indique clairement les normes Red Hat qui s'appliquent à chaque tâche concernée.
Elle inclut des références aux bonnes pratiques de développement et contrôles de sécurité reconnus par le secteur, afin de mieux codifier les attentes en matière de normes et de preuves.
Nos instructions de mise en œuvre basées sur la norme SSML doivent être suivies pour tous les logiciels ou services Red Hat :
Le guide sur le cycle de développement sécurisé (SDL, Secure Development Lifecycle) définit clairement comment les pratiques de développement sécurisé de la norme SSML doivent être respectées : ce qui doit être fait, par qui et comment. L'ensemble de ces pratiques garantit que la sécurité est intégrée à chaque étape du processus de développement de logiciels.
La procédure SOA (Security Operating Approval) permet de vérifier l'infrastructure Red Hat et les outils affiliés impliqués dans les pipelines de mise en production afin d'évaluer leur conformité aux contrôles, politiques et mesures de sécurité. Cette approche garantit la sélection, la création et la distribution de produits et services de qualité.
- Le plan IRP (Vulnerability and Incident Response Plan) prépare Red Hat de manière proactive à traiter efficacement les incidents de sécurité grâce à l'équipe Product Security. Ce plan garantit que les problèmes de sécurité sont traités rapidement lorsqu'ils concernent des produits et services Red Hat.
La sécurité dans le cycle de vie des produits
Chez Red Hat, nous considérons la sécurité comme un processus et nous l'appliquons donc à toutes les étapes du développement. Le schéma ci-dessous offre une vue globale des contrôles de sécurité mis en place par Red Hat dans le cadre du cycle de vie des produits.
