在軟件供應(yīng)鏈攻擊激增之際�,紅帽在近日舉行的年度Red Hat Summit峰會(huì)上����, 推出了Trusted Software Supply Chain��,該產(chǎn)品包含兩項(xiàng)新的云服務(wù)���,分別是Red Hat Trusted Application Pipeline和Red Hat Trusted Content.����。
軟件供應(yīng)鏈攻擊發(fā)生在惡意代碼插入來(lái)自受信任提供商的軟件中時(shí)��,通常是在分發(fā)或者更新過(guò)程中����。隨著開源代碼的迅速普及,這個(gè)問題也變得尤為緊迫����,現(xiàn)在幾乎每個(gè)軟件包中都可以找到開源代碼,無(wú)論是什么許可。
Synopsys曾在2022年對(duì)2400多個(gè)商業(yè)代碼庫(kù)進(jìn)行的分析發(fā)現(xiàn)��,其中97%的商業(yè)代碼庫(kù)中包含了開源組件�����,81%的商業(yè)代碼庫(kù)中至少存在一個(gè)漏洞���,近90%的應(yīng)用中有兩年多未更新的組件��。
【資料圖】
“幾乎沒有護(hù)欄”
“我們生活在一個(gè)幾乎沒有護(hù)欄的世界���;開發(fā)者可以從未經(jīng)驗(yàn)證的來(lái)源提取內(nèi)容,將其放入管道中�,再部署到生產(chǎn)環(huán)境中,這樣你就有了一個(gè)漏洞或者潛在的漏洞�,”紅帽公司云服務(wù)總經(jīng)理Sarwar Raza這樣表示。
紅帽稱���,注意到過(guò)去三年中每年供應(yīng)鏈攻擊數(shù)量都同比增長(zhǎng)超過(guò)740%����,因此紅帽將提供一個(gè)目錄��,其中包含了10000多個(gè)運(yùn)行在Red Hat Enterprise Linux上的受信軟件包,以及關(guān)鍵應(yīng)用程序運(yùn)行時(shí)的目錄�,覆蓋了Java、Node和Python生態(tài)系統(tǒng)�����。
Trusted Application Pipeline基于Sigstore���,這是一種對(duì)軟件組件進(jìn)行數(shù)字簽名和檢查以驗(yàn)證來(lái)源和真實(shí)性的自動(dòng)化方法——開發(fā)者認(rèn)為這幾乎是不可能被破壞的���。這種管道是一種持續(xù)集成/持續(xù)交付的機(jī)制��,可以對(duì)采用與Red Hat用于構(gòu)建生產(chǎn)軟件相同的流程����、技術(shù)和專業(yè)知識(shí)進(jìn)行簡(jiǎn)化。
客戶將能夠使用Trusted Application Pipeline導(dǎo)入git存儲(chǔ)庫(kù)�����,并通過(guò)一項(xiàng)云服務(wù)配置容器原生持續(xù)構(gòu)建�����、測(cè)試和部署管道,檢查源代碼和傳遞依賴性���,在構(gòu)建過(guò)程中自動(dòng)生成軟件物料清單����,并通過(guò)一種企業(yè)合同政策引擎驗(yàn)證和推進(jìn)容器鏡像���,該引擎有助于確認(rèn)與軟件工件供應(yīng)鏈級(jí)別等行業(yè)標(biāo)準(zhǔn)的一致性�����。
SBOM越來(lái)越多地被用于防止供應(yīng)鏈攻擊����,并在美國(guó)2021年5月發(fā)布的關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令中被稱為保護(hù)軟件供應(yīng)鏈的關(guān)鍵��。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院���、食品藥品監(jiān)督管理局和幾個(gè)歐洲政府現(xiàn)在都強(qiáng)烈鼓勵(lì)使用SBOM��。
安全目錄
Red Hat Trusted Content將作為一項(xiàng)服務(wù)預(yù)覽在幾周內(nèi)提供給用戶��,將提供開源軟件依賴項(xiàng)中已知漏洞和安全風(fēng)險(xiǎn)的實(shí)時(shí)知識(shí)�����,還將建議如何最大限度地降低風(fēng)險(xiǎn)��,并使用企業(yè)內(nèi)部的最佳實(shí)踐提供對(duì)Red Hat構(gòu)建的開源軟件的訪問����。
Raza說(shuō):“我們基本上是在為所有成千上萬(wàn)的開源軟件包明確證明信任點(diǎn),現(xiàn)在你可以從紅帽獲得這些軟件包�。我們希望能夠?yàn)榭蛻籼峁╊~外的保證,即他們正在部署的字位實(shí)際上是安全可靠的�,如果以后確實(shí)出現(xiàn)漏洞,我們可以把他們指向最佳內(nèi)容來(lái)源�����,以及對(duì)這些問題的補(bǔ)救措施和情報(bào)信息���。”
簡(jiǎn)而言之���,Trusted Supply Chain產(chǎn)品將讓開發(fā)者“能夠像我們?cè)赗ed Hat所做的那樣����,向您的客戶提供有關(guān)您剛剛構(gòu)建的軟件的出處信息,”Red Hat公司產(chǎn)品管理總監(jiān)Sudhir Prasad這樣表示��。
他說(shuō)��,紅帽相信�,憑借數(shù)十年的經(jīng)驗(yàn),將很好地兌現(xiàn)承諾��。他說(shuō)�����,競(jìng)爭(zhēng)對(duì)手“不一定擁有已建立起的信任和內(nèi)容庫(kù)���,以及有關(guān)解決大問題的所有內(nèi)容信息”���。
托管Kubernetes的安全性
在安全領(lǐng)域,紅帽還推出了Advanced Cluster Security Cloud Service��,該服務(wù)以托管云服務(wù)的方式提供Kubernetes軟件容器編排器的原生安全功能����。Red Hat公司表示,該產(chǎn)品獨(dú)立于底層Kubernetes平臺(tái)�,可以在幾分鐘內(nèi)部署完成��。
該服務(wù)支持私有云和公有云上的Red Hat OpenShift以及主要云提供商的Kubernetes服務(wù)��,包括AWS的Elastic Kubernetes Service��、Google的Kubernetes Engine和微軟的Azure Kubernetes Service����。
該服務(wù)由Red Hat兩年前收購(gòu)的容器和Kubernetes威脅檢測(cè)公司StackRox開發(fā)���,把Kubernetes原生安全性構(gòu)建到整個(gè)應(yīng)用和平臺(tái)的生命周期中����,并幫助組織改進(jìn)DevSecOps規(guī)程��,其中把安全性集成到了開發(fā)者的工具和工作流中�。
