[23/04/2024] Red Hat anunció actualizaciones de Red Hat Trusted Software Supply Chain. Según lo señalado en el comunicado de prensa, estas soluciones mejoran la capacidad de los clientes para integrar la seguridad en el ciclo de vida del desarrollo de software, aumentando la integridad del software en una etapa más temprana de la cadena de suministro, al tiempo que se adhieren a las regulaciones de la industria y los estándares de cumplimiento.
"Red Hat Trusted Software Supply Chain ofrece software y servicios que mejoran la resiliencia de una organización frente a las vulnerabilidades, lo que les permite identificar y abordar los problemas potenciales de forma temprana y mitigarlos antes de que puedan ser explotados. Las organizaciones ahora están capacitadas para codificar, crear, implementar y monitorear su software de manera más eficiente utilizando plataformas probadas, contenido confiable y escaneo y corrección de seguridad en tiempo real”, sostuvo Sarwar Raza, vicepresidente y gerente general de la Unidad de Negocios de Desarrollo de Aplicaciones de Red Hat.
Basado en el proyecto de código abierto Sigstore fundado en Red Hat y ahora parte de la Open Source Security Foundation, el ejecutivo anotó que Red Hat Trusted Artifact Signer aumenta la confiabilidad de los artefactos de software que se mueven a través de la cadena de suministro de software, al permitir que los desarrolladores y las partes interesadas firmen y verifiquen criptográficamente los artefactos utilizando una autoridad de certificación sin clave. "Con su firma basada en la identidad a través de una integración con OpenID Connect, las organizaciones pueden tener una mayor confianza en la autenticidad e integridad de su cadena de suministro de software sin la sobrecarga y la molestia de administrar un sistema centralizado de administración de claves”.
El ejecutivo agregó que los equipos de desarrollo y seguridad también necesitan visibilidad e información sobre el perfil de riesgo de la base de código de una aplicación para que las amenazas y vulnerabilidades de seguridad puedan identificarse de forma proactiva y minimizarse. "Red Hat Trusted Profile Analyzer simplifica la gestión de vulnerabilidades al proporcionar una fuente de información para la documentación de seguridad, incluida la lista de materiales de software (SBOM) y el intercambio de vulnerabilidades (VEX). Las organizaciones pueden gestionar y analizar la composición de los activos de software y la documentación de software personalizado, de terceros y de código abierto sin ralentizar el desarrollo ni aumentar la complejidad operativa”.
Raza agregó que Red Hat Trusted Application Pipeline combina las capacidades de Red Hat Trusted Profile Analyzer y Red Hat Trusted Artifact Signer, junto con la plataforma interna de desarrollo de nivel empresarial de Red Hat, Red Hat Developer Hub, para proporcionar capacidades de cadena de suministro de software centradas en la seguridad que están preintegradas en las plantillas de autoservicio para desarrolladores. "Red Hat Trusted Application Pipeline consiste en un centro de desarrolladores central de plantillas de software validadas y barreras de protección integradas que estandarizan y agilizan la incorporación de rutas doradas centradas en la seguridad para aumentar la confianza y la transparencia en el momento del código”.
Raza finalizó que estas ofertas están disponibles como capacidades autogestionadas en las instalaciones y pueden combinarse en plataformas de aplicaciones, como Red Hat OpenShift, o consumirse por separado, lo que ofrece flexibilidad y opciones para satisfacer las necesidades específicas de los desarrolladores.
Disponibilidad
Red Hat Trusted Artifact Signer y Red Hat Trusted Application Pipeline están disponibles con carácter general. Red Hat Trusted Profile Analyzer está disponible en versión preliminar técnica, y se espera que esté disponible para el público en general este trimestre.
Franca Cavassa, CTOPerú