Visão geral
O Red Hat Product Security trabalha com nossas equipes de engenharia para promover o desenvolvimento seguro, possibilitando a criação de software de alta qualidade que atendem às necessidades empresariais dos clientes e aos requisitos de conformidade e governamentais. A Red Hat tem abordagem e ciclo de vida de desenvolvimento seguro alinhados aos frameworks e requisitos do setor, como o NIST SSDF, SLSA e SP-800-218, e às orientações dos padrões OWASP e ISO.
Para gerenciar a segurança do software com eficiência, a Red Hat estabelece práticas de desenvolvimento seguro que são adotadas pelas nossas equipes de engenharia. Assim, elas podem diminuir as vulnerabilidades nos softwares lançados, fortalecer a cadeia de suprimentos de software (o que reduz as oportunidades de ameaça), mitigar o potencial impacto de vulnerabilidades não detectadas ou não resolvidas e lidar com as causas delas para evitar novas ocorrências.
Para mais detalhes, consulte :
Testes de segurança no SDL da Red Hat
Como parte do ciclo de vida de desenvolvimento seguro (SDL), a Red Hat emprega técnicas manuais e automatizadas para avaliar e testar nosso código-fonte, incluindo modelagem de ameaças, testes de invasão e análises estáticas e dinâmicas de código (SAST e DAST, respectivamente).
A testagem estruturada inclui testes automatizados, manuais, de vulnerabilidades e de regressão. Alguns softwares passam por avaliações de segurança mais rigorosas além desses testes, dependendo do framework de conformidade ou certificação aplicável.
Com a orientação do Red Hat Product Security, a equipe de gerenciamento de soluções rastreia e prioriza todos os problemas identificados. Como adotamos o modelo open source, os clientes podem acessar nossos códigos-fonte para realizar suas próprias verificações.
As avaliações de segurança na cadeia de suprimentos de software também são essenciais para o trabalho de SDL da Red Hat. Monitoramos atentamente, fortalecemos e corrigimos os sistemas na nossa cadeia de suprimentos para seguir as práticas recomendadas do setor.
Segurança na cadeia de suprimentos de software da Red Hat: um modelo de processos em parceria
A Red Hat coloca nossos principais valores (liberdade, responsabilidade, coragem e comprometimento) no centro dos processos e das interações internas e com os clientes. No Product Security, adotamos essa abordagem aberta para criar uma parceria de proteção das soluções com o objetivo de viabilizar a colaboração em questões de segurança relacionadas diretamente à cadeia de suprimentos de software.
No Product Pipeline Partnership Security Program, integramos um processo empresarial para administrar questões de segurança de forma proativa e reativa. Identificamos os principais pontos de contato e caminhos de escalação, promovemos relações de negócios multifuncionais e asseguramos que nossas prioridades de trabalho sejam claras.
Com um processo bem-definido e a identificação das pessoas centrais, aumentamos o engajamento e a conscientização na nossa cadeia de suprimentos. Isso aprimora a eficiência das respostas de segurança aos problemas na cadeia de suprimentos, além de promover um senso de colaboração e parceria nas organizações. Com esse modelo colaborativo, a segurança fica voltada a atividades cada vez mais proativas na cadeia de suprimentos, sendo vista menos como um empecilho e mais como uma parceira.