Red Hat Trusted Software Supply Chain

Red Hat Trusted Profile Analyzer は、ソフトウェア・コンポーネントをスキャンおよび分析ぶんせきして依存いぞん関係かんけいをマッピングし、コードベースにセキュリティ脅威きょういが見みつかった場合ばあいはその影響えいきょう範囲はんいを評価ひょうかします。チームはこの記録きろくシステムでソフトウェア部品ぶひん表ひょう (SBOM) と脆弱ぜいじゃく性せい悪用あくよう可能かのう性せい交換こうかん (VEX) を生成せいせいし、管理かんりできます。セキュリティ文書ぶんしょのインデックスを作成さくせいしてクエリを実行じっこうし、実用じつよう的てきな知見ちけんと推奨すいしょう事項じこうを提示ていじするので、統合とうごう開発かいはつ環境かんきょう (IDE) での脆弱ぜいじゃく性せい管理かんりが単純たんじゅん化かされます。

コードを登録とうろくする準備じゅんびができたら、Red Hat Trusted Artifact Signer でデジタル署名しょめいして検証けんしょうします。イミュータブルな台帳だいちょうに記録きろくされ、監査かんさ可能かのうな透明とうめい性せいログを取得しゅとくできるので、コードが改かいざんされていないことを確認かくにんできます。また、それによりソフトウェア・サプライチェーン全体ぜんたいにおけるアーティファクトの信頼しんらい性せいが高たかまります。

Red Hat Developer Hub の一元化いちげんかされたセルフマネージドのソフトウェアカタログから、セキュリティワークフローをより迅速じんそくに導入どうにゅうできます。検証けんしょう済ずみのテンプレートと統合とうごうされた保護ほご機能きのうによって開発かいはつ者しゃの信頼しんらいが高たかまり、セキュリティプラクティスへの準拠じゅんきょが促進そくしんされるため、チームの認知にんち的てき負荷ふかが軽減けいげんされます。

Red Hat Trusted Application Pipeline は、ビルドパイプラインをカスタマイズおよび自動じどう化かし、チームが詳細しょうさいな出所しゅっしょのわかる署名しょめい付つき証明しょうめい書しょの使用しようを順守じゅんしゅできるよう支援しえんします。また、コードとしてのパイプラインを宣言せんげん的てきな状態じょうたいにデプロイし、不審ふしんなビルドが本番ほんばん環境かんきょうに持もち込こまれないようブロックするリリースポリシーを設定せっていできます。

セキュリティ重視じゅうしの継続けいぞく的てきインテグレーションと継続けいぞく的てきデプロイメント (CI/CD) のワークフローを構築こうちくすることで、パッケージ化かされたイメージが SLSA (Software Chain Levels for Software Artifacts) 要件ようけんを満みたすようにし、リリースを遅おくらせることなくペナルティを回避かいひします。

Red Hat Quay のコンテナレジストリ・プラットフォームを使用しようして、コンテナ化かされたソフトウェアを安全あんぜんに保管ほかんおよび共有きょうゆうできます。Quay は、ビルドシステムに統合とうごうして詳細しょうさいなアクセス制御せいぎょを実行じっこうできます。イメージの脆弱ぜいじゃく性せいを継続けいぞく的てきにスキャンし、問題もんだいをリアルタイムで報告ほうこくして運用うんよう上じょうのリスクを最小限さいしょうげんに抑おさえます。

Red Hat Advanced Cluster Security は、共通きょうつうのダッシュボードで、分散ぶんさんしたチーム全体ぜんたいのセキュリティとコンプライアンスを可視かし化かします。信頼しんらい性せいの高たかい脅威きょうい分析ぶんせきによって問題もんだいをピンポイントで特定とくていし、インシデント対応たいおうを迅速じんそく化かするとともに、ソフトウェア開発かいはつライフサイクル (SDLC) におけるセキュリティポスチャを改善かいぜんします。誤あやま検出けんしゅつ、アラート疲つかれ、ダウンタイムの長期ちょうき化かを抑おさえながら、新あらたな脅威きょういを的確てきかくに検知けんちし、対処たいしょします。