개요
Red Hat의 제품 보안 대응 팀은 20년 넘게 취약점 관리에 매진해 왔습니다. Red Hat은 취약점을 해결하는 것에만 그치지 않고, 전체 제품 공급망과 협력하여 릴리스 전과 릴리스 중의 모든 단계에 보안이 적용되도록 합니다. Red Hat Product Security는 보안에 대한 모범 사례와 표준을 정립하는 프로세스와 계획을 통해 고객과 기여자, 파트너를 디지털 보안 위협으로부터 보호합니다.
엔지니어링 표준의 보안
Red Hat의 내부 기술 표준인 보안 소프트웨어 관리 라이프사이클(Secure Software Management Lifecycle, SSML)은 명확한 엔지니어링 요구 사항을 제공하여 Red Hat 소프트웨어 또는 서비스가 보안 업계 규정 및 표준을 충족할 수 있도록 합니다. SSML의 이점은 다음과 같습니다.
보안 소프트웨어 개발 프레임워크(Secure Software Development Framework, SSDF) 및 소프트웨어 아티팩트 공급망 수준(Supply chain Levels for Software Artifacts, SLSA)에 따라 각 SSDF 또는 SLSA 태스크에 적용되는 Red Hat 표준을 명확하게 전달합니다.
표준 및 증거에 대한 기대치를 더욱 정교하게 체계화할 수 있도록 업계에서 알려지고 인정받는 우수한 보안 개발 사례 및 제어에 대한 참조를 포함합니다.
모든 Red Hat 소프트웨어 또는 서비스는 SSML 기반의 Red Hat 구현 지침을 따라야 합니다.
Red Hat의 보안 개발 라이프사이클(Secure Development Lifecycle, SDL)은 엔지니어링을 위해 SSML의 보안 개발 표준을 충족하는 방법, 즉 수행해야 하는 작업, 수행 주체 및 방법을 명확하게 정의합니다. RH-SDL의 일련의 관행은 보안이 소프트웨어 개발 프로세스의 모든 단계에 통합되도록 보장합니다.
보안 운영 승인(Security Operating Approval, SOA)은 보안 제어, 정책, 절차를 준수하는지 평가하기 위해 Red Hat 상품화 파이프라인과 관련된 Red Hat 인프라 및 제휴 툴링을 검토하는 작업입니다. 이를 통해 고품질 제품과 서비스의 선별, 개발 및 제공을 보장할 수 있습니다.
- Red Hat은 취약점 및 인시던트 대응 계획(Vulnerability and Incident Response Plan, IRP)을 바탕으로 Red Hat Product Security를 통해 보안 인시던트를 효과적으로 처리할 수 있도록 선제적으로 준비합니다. IRP는 Red Hat 제품 및 서비스와 관련된 보안 문제가 적시에 처리되도록 합니다.
제품 경로의 보안
Red Hat은 보안을 모든 단계에 적용합니다. Red Hat은 보안을 제품이 아닌 하나의 프로세스로 바라봅니다. 아래 다이어그램은 제품 경로에서 Red Hat의 보안 제어를 개략적으로 보여줍니다.
