Red Hat、開発者ファーストのエクスペリエンスを提供するRed Hat Trusted Software Supply Chainをアップデート

オープンソース・ソリューションのプロバイダーとして世界をリードするRed Hat, Inc.（以下、Red Hat）は本日、Red Hat Trusted Software Supply Chainのアップデートを発表しました。 これらのソリューションにより、お客様はセキュリティをソフトウェア開発ライフサイクルに組み込むことが可能になり、業界の規制やコンプライアンス基準を遵守しながら、サプライチェーンの早い段階でソフトウェアの完全性を高めることができます。ソリューションの進化によって、早い段階でセキュリティ対策をソフトウェア・サプライチェーンに組み込めるようになったため、脆弱性の早期検出が実現します。

業界アナリスト企業のIDCは次のように述べています。「2027年までには、CIOの75％がサイバーセキュリティ対策をシステムとプロセスに直接統合し、脆弱性を事前に検出して無効化することで、サイバー脅威や侵害からの防御を強化するようになるでしょう。」¹　組織はセキュリティ侵害を未然に防ぐために、セキュリティプロトコルをソフトウェアプロセスに直接統合するようになっており、従来の消極的なセキュリティ対策から積極的なセキュリティ対策への移行を進めています。

Red Hat Trusted Software Supply Chainは、組織の脆弱性に対する回復力を強化するソフトウェアとサービスを提供することで潜在的な問題を早期に特定して対処し、悪用される前に被害を軽減できるようにします。 現在、組織は実績のあるプラットフォーム、信頼できるコンテンツ、そしてリアルタイムのセキュリティスキャンと修復を利用して、ソフトウェアのコーディング、構築、展開、監視をさらに効率良く実行できるようになりました。

Red Hat Trusted Artifact SignerはRed Hatが設立し、現在はOpen Source Security Foundationの一部となっているオープンソースのSigstoreプロジェクトをベースにしており、開発者と関係者がキーレス認証局を使用してアーティファクトに暗号署名して検証できるようにすることで、ソフトウェア・サプライチェーンを通過するソフトウェアアーティファクトの信頼性を高めることができます。OpenID Connectとの統合によるIDベースの署名によって、組織は一元型キー管理システムの管理に伴うオーバーヘッドや手間を省き、ソフトウェア・サプライチェーンの信頼性と完全性を向上させることができます。

また、開発チームとセキュリティ チームは、セキュリティの脅威と脆弱性を事前に特定して最小限にできるように、アプリケーションのコードベースのリスクプロファイルを可視化し洞察する必要があります。 Red Hat Trusted Profile Analyzerは、ソフトウェア部品表（SBOM）やVulnerability Exploitability Exchange（VEX）のような、信頼できる情報源としてセキュリティ文書を提供することで、脆弱性管理を容易にします。 それによって組織は、開発を遅らせたり業務を複雑にすることなく、カスタムソフトウェア、サードパーティ・ソフトウェア、およびオープンソース・ソフトウェアのソフトウェア資産の構成と文書を管理および分析することができます。

Red Hat Trusted Application Pipelineは、Red Hat Trusted Profile AnalyzerとRed Hat Trusted Artifact Signer の機能と、Red Hat のエンタープライズグレードの社内開発者プラットフォームであるRed Hat Developer Hubを組み合わせて、開発者のセルフサービス・テンプレートにあらかじめ統合された、セキュリティを重視したソフトウェア・サプライチェーン機能を提供します。Red Hat Trusted Application Pipelineは、検証済みのソフトウェアテンプレートの集中デベロッパーハブと、セキュリティを重視したGolden Pathのオンボーディングを標準化および迅速化してコード時の信頼性と透明性を向上させる、統合ガードレールによって構成されています。

組織はこのソリューションを使用することで、パイプラインのコンプライアンスの検証と、自動的にアーティファクトの署名を検証して出所と証明を提供する信頼の連鎖によって、CI/CDプロセスのトレーサビリティと可監査性を提供できます。 エンタープライズ契約によってCI/CDパイプラインから直接脆弱性スキャンとポリシーチェックを行うことで、疑わしいビルドアクティビティが本番環境に移行するのを阻止できます。

また、各ソリューションはセルフマネージドのオンプレミス機能として利用でき、Red Hat OpenShiftなどのアプリケーション・プラットフォームに追加したり個別に使用したりできるため、開発者それぞれのニーズに合った柔軟性と選択肢を提供します。

ご利用について

Red Hat Trusted Artifact SignerとRed Hat Trusted Application Pipelineは現在、一般提供されています。 Red Hat Trusted Profile Analyzerはテクノロジープレビューで利用可能であり、今四半期中に一般提供される予定です。 詳細については、red.ht/assuredかRed Hat カスタマーポータルをご覧ください。

サポートコメント

Red Hat 　アプリケーション開発事業部バイスプレジデント兼ゼネラルマネージャー　Sarwar Raza（サルワル・ラザ）
「組織は、ユーザー、お客様、パートナーとの信頼を維持して高めるために、ソフトウェア開発において絶えず進化するセキュリティ脅威のリスクを軽減しようとしています。 Red Hat Trusted Software Supply Chainは、ソフトウェア開発ライフサイクルのあらゆる段階にセキュリティ機能をシームレスに導入できるように設計されています。 コード時から実行時までにわたり、これらのツールは透明性と信頼性を向上させるのに役立ち、DevSecOpsチームは開発者の速度や認知負荷に影響を与えることなく、より安全な企業を実現するための基礎を築くことができます。」

IDC　ソフトウェア開発 DevOpsおよびDevSecOps 担当プログラムバイスプレジデント　Jim Mercer（ジム・マーサー） 氏
「Red Hatは30年にわたり、オープンソース・ソフトウェアとオープンソース・ソフトウェアのサプライチェーンを保護してきました。 同社は改ざんに対する保護手段を提供し、すべてのコードを内部リポジトリに保存して、Red Hatが提供するソフトウェアにデジタル真正性を高める署名があることを保証することで、オープンソースのデューデリジェンスを強化し続けています。 Red Hat Trusted Software Supply Chainは既存のオープンソース・セキュリティのデューデリジェンスを推進し、Red Hatが信頼できるオープンソースソフトウェアの提供に使用しているのと同じソフトウェア・サプライチェーンを使用して、お客様がオープンソースとソフトウェアのサプライチェーンを管理できるようにサポートします。」

¹IDC FutureScape: Worldwide CIO Agenda 2024 Predictions, Doc # US51294523, Oct. 2023

その他のリソース

• Red Hat Trusted Software Supply Chainの詳細
• インフォグラフィックを見る: 5 ways to boost software supply chain security