在軟件供應鏈攻擊激增之際���,紅帽在近日舉行的年度Red Hat Summit峰會上�, 推出了Trusted Software Supply Chain����,該產(chǎn)品包含兩項新的云服務,分別是Red Hat Trusted Application Pipeline和Red Hat Trusted Content.���。
軟件供應鏈攻擊發(fā)生在惡意代碼插入來自受信任提供商的軟件中時�����,通常是在分發(fā)或者更新過程中���。隨著開源代碼的迅速普及,這個問題也變得尤為緊迫��,現(xiàn)在幾乎每個軟件包中都可以找到開源代碼�����,無論是什么許可。
Synopsys曾在2022年對2400多個商業(yè)代碼庫進行的分析發(fā)現(xiàn)�,其中97%的商業(yè)代碼庫中包含了開源組件,81%的商業(yè)代碼庫中至少存在一個漏洞���,近90%的應用中有兩年多未更新的組件����。
【資料圖】
“幾乎沒有護欄”
“我們生活在一個幾乎沒有護欄的世界�;開發(fā)者可以從未經(jīng)驗證的來源提取內(nèi)容,將其放入管道中���,再部署到生產(chǎn)環(huán)境中�����,這樣你就有了一個漏洞或者潛在的漏洞�����,”紅帽公司云服務總經(jīng)理Sarwar Raza這樣表示����。
紅帽稱��,注意到過去三年中每年供應鏈攻擊數(shù)量都同比增長超過740%���,因此紅帽將提供一個目錄���,其中包含了10000多個運行在Red Hat Enterprise Linux上的受信軟件包,以及關鍵應用程序運行時的目錄���,覆蓋了Java�、Node和Python生態(tài)系統(tǒng)���。
Trusted Application Pipeline基于Sigstore���,這是一種對軟件組件進行數(shù)字簽名和檢查以驗證來源和真實性的自動化方法——開發(fā)者認為這幾乎是不可能被破壞的。這種管道是一種持續(xù)集成/持續(xù)交付的機制�����,可以對采用與Red Hat用于構建生產(chǎn)軟件相同的流程���、技術和專業(yè)知識進行簡化�����。
客戶將能夠使用Trusted Application Pipeline導入git存儲庫����,并通過一項云服務配置容器原生持續(xù)構建、測試和部署管道�,檢查源代碼和傳遞依賴性,在構建過程中自動生成軟件物料清單�����,并通過一種企業(yè)合同政策引擎驗證和推進容器鏡像����,該引擎有助于確認與軟件工件供應鏈級別等行業(yè)標準的一致性。
SBOM越來越多地被用于防止供應鏈攻擊�,并在美國2021年5月發(fā)布的關于改善國家網(wǎng)絡安全的行政命令中被稱為保護軟件供應鏈的關鍵。美國國家標準與技術研究院���、食品藥品監(jiān)督管理局和幾個歐洲政府現(xiàn)在都強烈鼓勵使用SBOM���。
安全目錄
Red Hat Trusted Content將作為一項服務預覽在幾周內(nèi)提供給用戶,將提供開源軟件依賴項中已知漏洞和安全風險的實時知識��,還將建議如何最大限度地降低風險����,并使用企業(yè)內(nèi)部的最佳實踐提供對Red Hat構建的開源軟件的訪問。
Raza說:“我們基本上是在為所有成千上萬的開源軟件包明確證明信任點�,現(xiàn)在你可以從紅帽獲得這些軟件包。我們希望能夠為客戶提供額外的保證���,即他們正在部署的字位實際上是安全可靠的�����,如果以后確實出現(xiàn)漏洞��,我們可以把他們指向最佳內(nèi)容來源�,以及對這些問題的補救措施和情報信息�����?���!?/p>
簡而言之,Trusted Supply Chain產(chǎn)品將讓開發(fā)者“能夠像我們在Red Hat所做的那樣�����,向您的客戶提供有關您剛剛構建的軟件的出處信息,”Red Hat公司產(chǎn)品管理總監(jiān)Sudhir Prasad這樣表示�。
他說,紅帽相信����,憑借數(shù)十年的經(jīng)驗,將很好地兌現(xiàn)承諾���。他說�����,競爭對手“不一定擁有已建立起的信任和內(nèi)容庫���,以及有關解決大問題的所有內(nèi)容信息”。
托管Kubernetes的安全性
在安全領域���,紅帽還推出了Advanced Cluster Security Cloud Service����,該服務以托管云服務的方式提供Kubernetes軟件容器編排器的原生安全功能�����。Red Hat公司表示,該產(chǎn)品獨立于底層Kubernetes平臺�����,可以在幾分鐘內(nèi)部署完成��。
該服務支持私有云和公有云上的Red Hat OpenShift以及主要云提供商的Kubernetes服務�����,包括AWS的Elastic Kubernetes Service��、Google的Kubernetes Engine和微軟的Azure Kubernetes Service���。
該服務由Red Hat兩年前收購的容器和Kubernetes威脅檢測公司StackRox開發(fā),把Kubernetes原生安全性構建到整個應用和平臺的生命周期中����,并幫助組織改進DevSecOps規(guī)程,其中把安全性集成到了開發(fā)者的工具和工作流中���。
