Red Hat annonce que sa solution Red Hat Trusted Software Supply Chain a fait l’objet de nouvelles mises à jour. Ces dernières permettent désormais aux clients d’intégrer la sécurité dans le cycle de développement des logiciels et d’améliorer l’intégrité des logiciels plus tôt dans la chaîne d’approvisionnement, tout en se conformant aux réglementations et aux normes industrielles en vigueur.

La solution Red Hat Trusted Software Supply Chain propose des logiciels et des services qui visent à améliorer la résilience d’une entreprise face aux vulnérabilités, notamment en lui permettant d’identifier et de traiter les problèmes potentiels au plus tôt, puis de les contrer avant qu’ils ne puissent être exploités. Les entreprises sont donc désormais en mesure de coder, de construire, de déployer et d’effectuer une surveillance efficace de leurs logiciels à l’aide de plateformes éprouvées, de contenus fiables et d’analyses de sécurité et de remédiation en temps réel, souligbe Red Hat.

Conçu à partir du projet open source Sigstore fondé par Red Hat et faisant désormais partie de l’Open Source Security Foundation, Red Hat Trusted Artifact Signer renforce la fiabilité des artefacts logiciels qui circulent dans la chaîne d’approvisionnement des logiciels en permettant aux développeurs et aux différentes parties prenantes de signer et de vérifier ces artefacts de manière cryptographique à l’aide d’une Autorité de Certification (CA) sans clé. En outre, grâce à un schéma fondé sur l’identité intégré à OpenID Connect, les entreprises peuvent se fier davantage à l’authenticité et à l’intégrité de leur chaîne d’approvisionnement des logiciels, sans avoir à gérer un Key Management System (système de gestion des clés ou KMS) centralisé.

Par ailleurs, les équipes de développement et de sécurité ont également besoin de disposer de visibilité et d’informations sur le profil de risque de la base de code d’une application afin de pouvoir identifier et atténuer les menaces et les vulnérabilités de manière proactive. À cette fin, Red Hat Trusted Profile Analyzer simplifie la gestion des vulnérabilités en fournissant une source unique de vérité (SSOT) pour les documents de sécurité, y compris la nomenclature logicielle Software Bill of Materials (SBOM) et l’avis de sécurité Vulnerability Exploitability Exchange (VEX). Les entreprises peuvent ainsi gérer et analyser la composition des actifs logiciels et des documents pour les logiciels personnalisés, tiers et open source sans ralentir le développement ou augmenter la complexité opérationnelle.

En outre, Red Hat Trusted Application Pipeline combine les capacités de Red Hat Trusted Profile Analyzer et de Red Hat Trusted Artifact Signer, ainsi que la plateforme de développement interne Red Hat Developer Hub, afin de fournir des capacités de chaîne d’approvisionnement des logiciels orientés sécurité et pré-intégrées dans des modèles en libre-service à destination des développeurs. Red Hat Trusted Application Pipeline consiste en un portail de développement central de modèles de logiciels validés et de garde-fous intégrés qui normalisent et accélèrent l’intégration de Golden Paths privilégiant la sécurité afin de renforcer la fiabilité et la transparence au moment du codage.