Red Hat Trusted Software Supply Chain
Trusted Software Supply Chain は、最初からソフトウェアファクトリーのコンポーネント、プロセス、プラクティスにセキュリティを組み込めるようにします。
ソフトウェア・サプライチェーンのセキュリティ強化
コーディング、構築、デプロイ、監視の全体を通して、組織のセキュリティプラクティスに準拠したソフトウェア提供を実現します。ソフトウェア開発に統合された防護機能を使用してセキュリティ脅威のリスクを低減し、実証済みのプラットフォームでイノベーションを加速しながらビジネスのレジリエンシー (回復力) を高めます。
Red Hat には 30 年以上にわたって高品質、高信頼性のオープンソースソフトウェアを顧客のソフトウェア・サプライチェーンやエンタープライズ・アプリケーションに提供してきた実績があり、このソリューションにはその知見が活用されています。Red Hat は、脅威アクターによって事業運営が阻害され、収益成長を妨げるような被害が引き起こされることを防ぐ支援をします。
信頼できるコンテンツをキュレートする
悪意のあるコードの防止と特定
Red Hat Trusted Profile Analyzer は、ソフトウェア・コンポーネントをスキャンおよび分析して依存関係をマッピングし、コードベースにセキュリティ脅威が見つかった場合はその影響範囲を評価します。チームはこの記録システムでソフトウェア部品表 (SBOM) と脆弱性悪用可能性交換 (VEX) を生成し、管理できます。セキュリティ文書のインデックスを作成してクエリを実行し、実用的な知見と推奨事項を提示するので、統合開発環境 (IDE) での脆弱性管理が単純化されます。
コードを登録する準備ができたら、Red Hat Trusted Artifact Signer でデジタル署名して検証します。イミュータブルな台帳に記録され、監査可能な透明性ログを取得できるので、コードが改ざんされていないことを確認できます。また、それによりソフトウェア・サプライチェーン全体におけるアーティファクトの信頼性が高まります。
パイプラインのコンプライアンスを順守
ビルドシステムの保護
Red Hat Developer Hub の一元化されたセルフマネージドのソフトウェアカタログから、セキュリティワークフローをより迅速に導入できます。検証済みのテンプレートと統合された保護機能によって開発者の信頼が高まり、セキュリティプラクティスへの準拠が促進されるため、チームの認知的負荷が軽減されます。
Red Hat Trusted Application Pipeline は、ビルドパイプラインをカスタマイズおよび自動化し、チームが詳細な出所のわかる署名付き証明書の使用を順守できるよう支援します。また、コードとしてのパイプラインを宣言的な状態にデプロイし、不審なビルドが本番環境に持ち込まれないようブロックするリリースポリシーを設定できます。
セキュリティ重視の継続的インテグレーションと継続的デプロイメント (CI/CD) のワークフローを構築することで、パッケージ化されたイメージが SLSA (Software Chain Levels for Software Artifacts) 要件を満たすようにし、リリースを遅らせることなくペナルティを回避します。
セキュリティポスチャの向上
継続的なランタイム監視
Red Hat Quay のコンテナレジストリ・プラットフォームを使用して、コンテナ化されたソフトウェアを安全に保管および共有できます。Quay は、ビルドシステムに統合して詳細なアクセス制御を実行できます。イメージの脆弱性を継続的にスキャンし、問題をリアルタイムで報告して運用上のリスクを最小限に抑えます。
Red Hat Advanced Cluster Security は、共通のダッシュボードで、分散したチーム全体のセキュリティとコンプライアンスを可視化します。信頼性の高い脅威分析によって問題をピンポイントで特定し、インシデント対応を迅速化するとともに、ソフトウェア開発ライフサイクル (SDLC) におけるセキュリティポスチャを改善します。誤検出、アラート疲れ、ダウンタイムの長期化を抑えながら、新たな脅威を的確に検知し、対処します。
信頼できるソフトウェア・サプライチェーンを使用してコーディング、ビルド、デプロイ、監視を行う
潜在的なセキュリティ問題を早期に、またソフトウェア開発ライフサイクル全体を通じて排除することで、ユーザーの信頼を築き、潜在的な収益損失を回避し、評判の失墜を防ぐことができます。Red Hat Trusted Software Supply Chain は、ソフトウェア提供を保護してサイバー攻撃に対する防御力を高めると同時に、開発速度を向上させて顧客のニーズに対応できるようにします。
こうしたセルフマネージドのオンプレミス機能は、Red Hat OpenShift® などのアプリケーション・プラットフォームに簡単に追加できます。Red Hat がお客様のソフトウェア・サプライチェーンにおけるリスクの軽減をどのように支援できるか、詳細をご覧ください。
Cigna、Red Hat Advanced Cluster Security と GitOps でセキュリティを強化
Cigna は、Log4Shell の発見を受け、セキュリティポスチャを強化するために Red Hat Advanced Cluster Security for Kubernetes のデプロイを急速に進めました。
注目のリソース
信頼あるソフトウェア・サプライチェーン・ソリューションの概要
統合されたセキュリティ防護機能でアプリケーション提供を加速します。
ソフトウェア・サプライチェーンにおけるセキュリティの実践ガイド
テクノロジーアナリストが、コンテナ化されたアプリケーションを保護するために必要なものについて説明します。
ソフトウェア・サプライチェーンのセキュリティを強化する 5 つの方法
イノベーションのスピードを上げながらセキュリティを強化するためにできることを説明します。