Red Hat Trusted Application Pipeline
Red Hat Trusted Application Pipeline とは
Red Hat® Trusted Application Pipeline は、ソフトウェア・サプライチェーンの早い段階で脆弱性を検出できる自動的な統合チェック機能を備えており、ソフトウェア開発チームによるセキュリティ強化を支援します。そして組織は、業界の要件に沿った、反復可能で信頼性の高い独自のパイプラインをキュレートすることができます。
Red Hat Trusted Application Pipeline は実証済みの信頼あるオープンソース・テクノロジーに基づいており、ソフトウェアファクトリーにおけるリスクや脆弱性からユーザー、顧客、パートナーを保護する一連のソリューションである Red Hat Trusted Software Supply Chain に含まれます。
特長とメリット
セキュリティ最優先の開発ワークスペース
社内開発プラットフォームで開発者の生産性を向上させます。定義されたセキュリティプラクティスに従ったアプリケーションの構築とデプロイを実現する、セルフサービスの検証済みソフトウェアテンプレートを提供します。
統合されたセキュリティチェック
セキュリティ上の問題をスキャンし、既存の統合開発環境 (IDE) から分離します。実用的な洞察と推奨事項により、開発チームがセキュリティ脅威の影響を理解できるよう支援します。
大規模な SBOM 管理
ソフトウェア・ライフサイクルを通じて信頼チェーンをサポートします。CI/CD パイプラインを実行するたびに自動生成されるソフトウェア部品表 (SBOM) で、ソフトウェア・コンポーネントの署名付き証明書と詳細な出所を提供します。
改ざん防止暗号署名
CI/CD ワークフローのすべてのステップでソフトウェア・アーティファクトの整合性を確保します。デジタル署名を付与し、すべてのアクティビティの透過的かつ不変のオープンソースログを通じてあらゆるコード送信を把握します。
セキュリティ重視の自動化ワークフロー
SLSA (Supply chain Levels for Software Artifacts:ソフトウェア・アーティファクトのサプライチェーンレベル) レベル 3 を含め、コンプライアンス基準を確認します。トレーサビリティと可視性を確保するための脆弱性スキャンとポリシーチェックの機能を備えた、ユーザー構成可能な承認ゲートを実装します。
Red Hat Trusted Application Pipeline に含まれるもの
Red Hat Developer Hub は、社内開発者プラットフォームを構築するためのオープンなフレームワークです。
Red Hat Trusted Profile Analyzer は、アプリケーションのコードベースのリスクプロファイルを可視化します。
Red Hat Trusted Artifact Signer は、ソフトウェア・アーティファクトの信頼性と整合性を保護します。
継続的で信頼できるソフトウェアリリース
他社との競争でしのぎを削っている組織は、ソフトウェアを構築し、リリースするにあたり、スピードとセキュリティの両立という課題と直面します。セキュリティチェックは、攻撃者による悪意のあるコードの挿入や既知の脆弱性の悪用を阻止するために必要です。しかし、複雑で変化の速いソフトウェア開発ライフサイクルにおいては、開発チームがすべてのコンポーネントを手作業で確認するための時間とツールが常にあるとは限りません。
Red Hat Trusted Application Pipeline は、企業基準に沿ったソフトウェアを実現するセキュリティ重視のゴールデンパスにより、CI/CD パイプラインの信頼性と透明性を向上させます。統合されたセキュリティチェックにより、ソフトウェアチームはライフサイクルの早い段階で脆弱性を検出し、レジリエンシー (回復力) を向上させてユーザーの信頼を守りながら、価値ある新しいソフトウェアを大規模に提供できます。
Red Hat を活用する
Red Hat は、さまざまな脅威を軽減するためにセキュリティツールのオープンエコシステムを活用しています。ビジネスにとって最適なフットプリントを使用できる柔軟性が必要であるとの認識の下、環境全体で共通した一連の基準と一貫性を提供します。たとえば、Red Hat は、主要なパブリッククラウドプロバイダーすべてに対してマネージド型の高度な Kubernetes コンテナセキュリティを提供し、コンテナ化されたアプリケーションのデプロイ場所に関係なく、一貫したセキュリティカバレッジを実現します。
Red Hat は 30 年を超える業界経験を持ち、脆弱性を迅速に監視し、特定し、それに対処する専任のグローバル製品セキュリティチームを備えています。