概述
红帽的产品安全服务响应团队拥有超过 20 年的漏洞管理处理经验。红帽所做的不仅仅是处理漏洞;我们还与整个产品供应链合作,确保安全防护深植于发布前和发布期间的每一个环节。产品安全服务通过实施适当的流程和计划,践行最佳安全防护实践与标准,保护我们的客户、贡献者和合作伙伴免受数字安全威胁带来的风险。
工程标准中的安全防护
红帽的内部技术标准,即安全软件管理生命周期(SSML),提供了一套明确的工程要求,确保红帽软件或服务符合安全行业法规与标准。SSML 具有以下特征:
与安全软件开发框架(SSDF)和针对软件工件的供应链等级(SLSA)保持一致,明确传达适用于每项 SSDF 或 SLSA 任务的红帽标准。
引用行业认可且已知良好的安全开发实践和控制措施,更明确地规范对于标准和证据的要求。
所有红帽软件或服务都必须遵循基于 SSML 的红帽实施准则:
红帽的安全开发生命周期(SDL)针对工程明确定义了如何满足 SSML 的安全开发标准:需要完成哪些工作、由谁执行以及如何执行。 RH-SDL 的一系列实践可确保将安全防护融入软件开发流程的每个阶段。
安全操作审批(SOA)将审查红帽产品化管道中涉及的红帽基础架构及附属工具,以衡量对安全防护控制、策略和程序的遵守情况。这可确保策划、创建和交付优质的产品与服务。
- 漏洞管理和事件响应计划(IRP)通过产品安全服务主动帮助红帽做好准备,从而有效处理安全事件。IRP 可确保及时处理与红帽产品和服务相关的安全问题。
产品路径中的安全防护
在红帽,安全防护贯穿于每个阶段;我们将安全防护视为一个过程,而非一款产品。下图概要展示了红帽产品路径中的安全防护控制。
