MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Red Hat, Inc, premier éditeur mondial de solutions Open Source, annonce que sa solution Red Hat Trusted Software Supply Chain a fait l’objet de nouvelles mises à jour. Ces dernières permettent désormais aux clients d’intégrer la sécurité dans le cycle de développement des logiciels et d’améliorer l’intégrité des logiciels plus tôt dans la chaîne d’approvisionnement, tout en se conformant aux réglementations et aux normes industrielles en vigueur.
Selon le cabinet d’analyse IDC, « D’ici 2027, 75 % des DSI intégreront des mesures de cybersécurité directement dans les systèmes et les processus afin de détecter et de neutraliser les vulnérabilités de manière proactive et de se prémunir contre les cybermenaces et les atteintes à la sécurité »[1]. En effet, les entreprises commencent à intégrer des protocoles de sécurité directement dans leurs processus logiciels et mettent désormais en place des mesures proactives afin de bloquer toute faille de sécurité avant qu’elle ne se produise.
La solution Red Hat Trusted Software Supply Chain propose des logiciels et des services qui visent à améliorer la résilience d’une entreprise face aux vulnérabilités, notamment en lui permettant d’identifier et de traiter les problèmes potentiels au plus tôt, puis de les contrer avant qu’ils ne puissent être exploités. Les entreprises sont donc désormais en mesure de coder, de construire, de déployer et d’effectuer une surveillance efficace de leurs logiciels à l’aide de plateformes éprouvées, de contenus fiables et d’analyses de sécurité et de remédiation en temps réel.
Conçu à partir du projet open source Sigstore fondé par Red Hat et faisant désormais partie de l’Open Source Security Foundation, Red Hat Trusted Artifact Signer renforce la fiabilité des artefacts logiciels qui circulent dans la chaîne d’approvisionnement des logiciels en permettant aux développeurs et aux différentes parties prenantes de signer et de vérifier ces artefacts de manière cryptographique à l’aide d’une Autorité de Certification (CA) sans clé. En outre, grâce à un schéma fondé sur l’identité intégré à OpenID Connect, les entreprises peuvent se fier davantage à l’authenticité et à l’intégrité de leur chaîne d’approvisionnement des logiciels, sans avoir à gérer un Key Management System (système de gestion des clés ou KMS) centralisé.
Par ailleurs, les équipes de développement et de sécurité ont également besoin de disposer de visibilité et d’informations sur le profil de risque de la base de code d’une application afin de pouvoir identifier et atténuer les menaces et les vulnérabilités de manière proactive. À cette fin, Red Hat Trusted Profile Analyzer simplifie la gestion des vulnérabilités en fournissant une source unique de vérité (SSOT) pour les documents de sécurité, y compris la nomenclature logicielle Software Bill of Materials (SBOM) et l’avis de sécurité Vulnerability Exploitability Exchange (VEX). Les entreprises peuvent ainsi gérer et analyser la composition des actifs logiciels et des documents pour les logiciels personnalisés, tiers et open source sans ralentir le développement ou augmenter la complexité opérationnelle.
En outre, Red Hat Trusted Application Pipeline combine les capacités de Red Hat Trusted Profile Analyzer et de Red Hat Trusted Artifact Signer, ainsi que la plateforme de développement interne Red Hat Developer Hub, afin de fournir des capacités de chaîne d’approvisionnement des logiciels orientés sécurité et pré-intégrées dans des modèles en libre-service à destination des développeurs. Red Hat Trusted Application Pipeline consiste en un portail de développement central de modèles de logiciels validés et de garde-fous intégrés qui normalisent et accélèrent l’intégration de Golden Paths privilégiant la sécurité afin de renforcer la fiabilité et la transparence au moment du codage.
Les entreprises peuvent s’orienter vers cette offre pour vérifier la conformité du pipeline et assurer la traçabilité et l’auditabilité du processus CI/CD grâce à une chaîne de confiance automatisée chargée de valider les signatures des artefacts et de fournir la provenance et les attestations. Par ailleurs, grâce à l’analyse des vulnérabilités et au contrôle des politiques de sécurité effectué directement à partir du pipeline, les contrats d’entreprise peuvent empêcher toute activité de construction suspecte d’être bientôt envoyée en production.
Ces offres sont disponibles en tant que capacités autogérées sur site et peuvent être associées à des plateformes d’application telles que Red Hat OpenShift, ou consommées séparément, offrant ainsi aux développeurs toute la flexibilité et la liberté de choix nécessaires pour répondre à leurs besoins spécifiques.
Les solutions Red Hat Trusted Artifact Signer et Red Hat Trusted Application Pipeline sont désormais disponibles au grand public. Red Hat Trusted Profile Analyzer est actuellement disponible en tant qu’aperçu technologique et sera disponible au grand public au cours du trimestre.
Sarwar Raza, vice president and general manager, Application Developer Business Unit, Red Hat : « Aujourd’hui, dans le cadre du développement de leurs logiciels, les entreprises cherchent à atténuer les risques liés à l’évolution constante du paysage des menaces de sécurité, afin de conserver et d’entretenir favorablement la confiance de leurs utilisateurs, de leurs clients et de leurs partenaires. La solution Red Hat Trusted Software Supply Chain est conçue pour intégrer des fonctionnalités de sécurité à chaque phase du cycle de vie du développement logiciel, en toute transparence. De la phase de codage à la phase d’exécution, ces outils permettent à la chaîne d’approvisionnement des logiciels de gagner en transparence et en fiabilité, et donnent aux équipes DevSecOps la possibilité de jeter les bases d’une entreprise plus sûre, sans impacter la rapidité ou la charge cognitive des développeurs ».
Jim Mercer, program vice president, Software Development, DevOps & DevSecOps, IDC : « Depuis plus de 30 ans, Red Hat veille à sécuriser au mieux les logiciels et la chaîne d’approvisionnement des logiciels open source. La société a continué à perfectionner son processus de diligence requise en matière d’open source en mettant en place des mesures de protection contre la falsification des données, en veillant à ce que l’ensemble du code soit stocké dans des référentiels internes et que les logiciels distribués par Red Hat soient signés afin d’améliorer la provenance numérique. La solution Red Hat Trusted Software Supply Chain ambitionne d’étendre sa procédure existante de contrôle diligent de la sécurité en matière d’open source afin d’accompagner ses clients dans la gestion de leurs chaînes d’approvisionnement des logiciels et open source et utilisant la même que celle qu’utilise Red Hat pour fournir des logiciels open source de confiance ».
