Optimierung der Trusted Software Supply Chain

Red Hat stellt neue Lösungen für Entwickler vor

Uhr
von Sara Meier und msc

Red Hat lanciert drei neue Produkte, die im Rahmen der Trusted Software Supply Chain das Leben von Entwickelnden einfacher machen sollen. Neu im Portfolio von Red Hat sind der Trusted Artifact Signer, der Trusted Profile Analyzer und die Trusted Application Pipeline.

(Source: Agnieszka Boeske / unsplash.com)
(Source: Agnieszka Boeske / unsplash.com)

Red Hat aktualisiert seine Trusted Software Supply Chain mit neuen Lösungen. Sie sollen es Unternehmen ermöglichen, die Softwareentwicklung sicherer zu machen und die Softwareintegrität zu einem früheren Zeitpunkt in der Lieferkette zu erhöhen, wie das Unternehmen mitteilt. 

Der Red Hat Trusted Artifact Signer basiere auf dem von Red Hat gegründeten Open-Source-Projekt Sigstore. Die Lösung erhöhe die Vertrauenswürdigkeit von Softwareartefakten, die die Softwarelieferkette durchlaufen. Dies geschehe durch eine kryptografische Signierung und Verifizierung mit einer schlüssellosen Zertifizierungsstelle. 

Die neue Lösung Trusted Profile Analyzer soll das Schwachstellenmanagement vereinfachen, indem sie eine einheitliche Quelle für die Sicherheitsdokumentation biete. Kunden von Red Hat sollen die Zusammensetzung von Software-Assets und die Dokumentation von Drittanbieter- und Open-Source-Software verwalten und analysieren können, ohne dass der Entwicklungsprozess verlangsamt werde. 

Die Red Hat Trusted Application Pipeline kombiniert laut dem Hersteller Funktionen des Trusted Profile Analyzer und des Trusted Artifact Signer mit der internen Entwicklerplattform von Red Hat. Diese Lösung bestehe aus einem zentralen Developer Hub mit validierten Softwarevorlagen und integrierten Leitplanken, die das Onboarding standardisieren und beschleunigen sollen. 

Alle neuen Angebote seien als selbstverwaltete On-Premise-Funktionen verfügbar und sollen auf Anwendungsplattformen wie Red Hat Openshift aufgesetzt und separat genutzt werden können. Die Lösungen Trusted Artifact Signer und Trusted Application Pipeline sind bereits verfügbar. Der Trusted Profile Analyzer ist als Tech-Preview erhältlich. Allgemein verfügbar soll der Trusted Profile Analyzer während des zweiten Quartals 2024 sein. 

Apropos: Anfang April 2024 entdeckte ein Softwareingenieur von Microsoft einen bösartigen Code in XZ-Tools von Red Hat. Die Verwendung von Fedora 41 und Fedora Rawhide sei umgehend einzustellen. Mehr dazu lesen Sie hier.

Webcode
E6uiMwtL