在軟件供應(yīng)鏈攻擊激增之際，紅帽在近日舉行的年度Red Hat Summit峰會上， 推出了Trusted Software Supply Chain，該產(chǎn)品包含兩項新的云服務(wù)，分別是Red Hat Trusted Application Pipeline和Red Hat Trusted Content.。

軟件供應(yīng)鏈攻擊發(fā)生在惡意代碼插入來自受信任提供商的軟件中時，通常是在分發(fā)或者更新過程中。隨著開源代碼的迅速普及，這個問題也變得尤為緊迫，現(xiàn)在幾乎每個軟件包中都可以找到開源代碼，無論是什么許可。

Synopsys曾在2022年對2400多個商業(yè)代碼庫進(jìn)行的分析發(fā)現(xiàn)，其中97%的商業(yè)代碼庫中包含了開源組件，81%的商業(yè)代碼庫中至少存在一個漏洞，近90%的應(yīng)用中有兩年多未更新的組件。

“幾乎沒有護(hù)欄”

“我們生活在一個幾乎沒有護(hù)欄的世界；開發(fā)者可以從未經(jīng)驗證的來源提取內(nèi)容，將其放入管道中，再部署到生產(chǎn)環(huán)境中，這樣你就有了一個漏洞或者潛在的漏洞，”紅帽公司云服務(wù)總經(jīng)理Sarwar Raza這樣表示。

紅帽稱，注意到過去三年中每年供應(yīng)鏈攻擊數(shù)量都同比增長超過740%，因此紅帽將提供一個目錄，其中包含了10000多個運行在Red Hat Enterprise Linux上的受信軟件包，以及關(guān)鍵應(yīng)用程序運行時的目錄，覆蓋了Java、Node和Python生態(tài)系統(tǒng)。

Trusted Application Pipeline基于Sigstore，這是一種對軟件組件進(jìn)行數(shù)字簽名和檢查以驗證來源和真實性的自動化方法——開發(fā)者認(rèn)為這幾乎是不可能被破壞的。這種管道是一種持續(xù)集成/持續(xù)交付的機(jī)制，可以對采用與Red Hat用于構(gòu)建生產(chǎn)軟件相同的流程、技術(shù)和專業(yè)知識進(jìn)行簡化。

客戶將能夠使用Trusted Application Pipeline導(dǎo)入git存儲庫，并通過一項云服務(wù)配置容器原生持續(xù)構(gòu)建、測試和部署管道，檢查源代碼和傳遞依賴性，在構(gòu)建過程中自動生成軟件物料清單，并通過一種企業(yè)合同政策引擎驗證和推進(jìn)容器鏡像，該引擎有助于確認(rèn)與軟件工件供應(yīng)鏈級別等行業(yè)標(biāo)準(zhǔn)的一致性。

SBOM越來越多地被用于防止供應(yīng)鏈攻擊，并在美國2021年5月發(fā)布的關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令中被稱為保護(hù)軟件供應(yīng)鏈的關(guān)鍵。美國國家標(biāo)準(zhǔn)與技術(shù)研究院、食品藥品監(jiān)督管理局和幾個歐洲政府現(xiàn)在都強(qiáng)烈鼓勵使用SBOM。

安全目錄

Red Hat Trusted Content將作為一項服務(wù)預(yù)覽在幾周內(nèi)提供給用戶，將提供開源軟件依賴項中已知漏洞和安全風(fēng)險的實時知識，還將建議如何最大限度地降低風(fēng)險，并使用企業(yè)內(nèi)部的最佳實踐提供對Red Hat構(gòu)建的開源軟件的訪問。

Raza說：“我們基本上是在為所有成千上萬的開源軟件包明確證明信任點，現(xiàn)在你可以從紅帽獲得這些軟件包。我們希望能夠為客戶提供額外的保證，即他們正在部署的字位實際上是安全可靠的，如果以后確實出現(xiàn)漏洞，我們可以把他們指向最佳內(nèi)容來源，以及對這些問題的補(bǔ)救措施和情報信息。”

簡而言之，Trusted Supply Chain產(chǎn)品將讓開發(fā)者“能夠像我們在Red Hat所做的那樣，向您的客戶提供有關(guān)您剛剛構(gòu)建的軟件的出處信息，”Red Hat公司產(chǎn)品管理總監(jiān)Sudhir Prasad這樣表示。

他說，紅帽相信，憑借數(shù)十年的經(jīng)驗，將很好地兌現(xiàn)承諾。他說，競爭對手“不一定擁有已建立起的信任和內(nèi)容庫，以及有關(guān)解決大問題的所有內(nèi)容信息”。

托管Kubernetes的安全性

在安全領(lǐng)域，紅帽還推出了Advanced Cluster Security Cloud Service，該服務(wù)以托管云服務(wù)的方式提供Kubernetes軟件容器編排器的原生安全功能。Red Hat公司表示，該產(chǎn)品獨立于底層Kubernetes平臺，可以在幾分鐘內(nèi)部署完成。

該服務(wù)支持私有云和公有云上的Red Hat OpenShift以及主要云提供商的Kubernetes服務(wù)，包括AWS的Elastic Kubernetes Service、Google的Kubernetes Engine和微軟的Azure Kubernetes Service。

該服務(wù)由Red Hat兩年前收購的容器和Kubernetes威脅檢測公司StackRox開發(fā)，把Kubernetes原生安全性構(gòu)建到整個應(yīng)用和平臺的生命周期中，并幫助組織改進(jìn)DevSecOps規(guī)程，其中把安全性集成到了開發(fā)者的工具和工作流中。