概要
Red Hat 製品セキュリティはエンジニアリングチームと連携してセキュアなソフトウェア開発を推進し、お客様のビジネスニーズと政府要件やコンプライアンス要件を満たす高品質のソフトウェアを実現します。Red Hat のセキュアな開発ライフサイクルとアプローチは、NIST SSDF、SLSA、SP-800-218 などの業界フレームワークと要件、OWASP および ISO 標準のガイダンスに直接準拠しています。
Red Hat は、セキュアなソフトウェア開発プラクティスを確立することでソフトウェアのセキュリティを効果的に管理します。エンジニアリングチームはこのプラクティスを使用して、リリースされたソフトウェアの脆弱性を削減し、ソフトウェア・サプライチェーンを強化して脅威がもたらされる可能性を最小限に抑え、未検出または未対処の脆弱性の潜在的な影響を軽減し、脆弱性の根本原因に対処して将来の再発を防止します。
詳細は、以下を参照してください。
Red Hat の SDL におけるセキュリティテスト
Red Hat はセキュア開発ライフサイクル (SDL) の一環として、脅威モデリング、侵入テスト、静的および動的コード分析 (SAST、DAST) など、手動と自動両方の手法を使用して、ソースコードをスキャンし、テストします。
構造化テストには、自動テスト、手動テスト、脆弱性テスト、回帰テストが含まれます。一部のソフトウェアには、適用されるコンプライアンス・フレームワークまたは認証に応じて、これよりも厳格なセキュリティテストが実施されます。
検出された問題はすべて、Red Hat 製品セキュリティのガイダンスに沿った製品管理によって追跡され、優先順位が付けられます。当社のコードはオープンソースであるため、お客様がソースコードにアクセスして独自の検証を行うこともできます。
ソフトウェア・サプライチェーンのセキュリティ評価も、Red Hat の SDL 作業にとって重要です。当社では、業界のベストプラクティスに沿って、ソフトウェア・サプライチェーン内のシステムを綿密に監視、強化し、それらのシステムに対するパッチ適用を行っています。
Red Hat におけるソフトウェア・サプライチェーンのセキュリティ保証:パートナーシップ・プロセス・モデル
Red Hat では、自由、説明責任、勇気、コミットメントをコアバリューとして、これらを中心に当社のプロセス、および、社員相互またはお客様との関係を構築し、維持しています。Red Hat 製品セキュリティでは、このオープンなアプローチを適用して製品セキュリティのパートナーシップを構築することで、ソフトウェア・サプライチェーンに直接関連するセキュリティ上の問題に関するコラボレーションを促進しています。
製品パイプライン・パートナーシップ・セキュリティ・プログラムには、セキュリティの問題に予防的および事後的に対処するためのビジネスプロセスが組み込まれています。主要な連絡先とエスカレーションパスを特定し、部門を越えてビジネス関係を育み、ワークストリームの優先順位を明確にします。
プロセスの概要が明確に示され、主要メンバーが特定されると、サプライチェーン全体の関与と意識が高まります。これにより、サプライチェーンの問題に対するセキュリティ対応が効率化され、組織全体でコラボレーションとパートナーシップが認識されるようになります。この協調的なモデルを使用することで、サプライチェーンにおいてセキュリティに関するプロアクティブな作業に重点を置くことができるとともに、人がセキュリティに対して持つ認識を「阻害者」から「パートナー」へとシフトさせることができます。