Überblick
Red Hat Product Security arbeitet mit unseren Engineering-Teams zusammen, um eine sichere Softwareentwicklung zu fördern und so qualitativ hochwertige Software zu ermöglichen, die den geschäftlichen Anforderungen unserer Kunden gerecht wird und staatliche Vorgaben sowie Compliance-Anforderungen erfüllt. Der sichere Entwicklungs-Lifecycle und -ansatz von Red Hat richtet sich direkt nach Branchenframeworks und -anforderungen wie NIST SSDF, SLSA und SP-800-218 sowie an den Richtlinien von OWASP und ISO-Standards.
Red Hat etabliert Praktiken für eine sichere Softwareentwicklung und kann so die Softwaresicherheit effektiv managen. Mithilfe dieser Praktiken können die Engineering-Teams Schwachstellen in veröffentlichter Software reduzieren, die Softwarelieferkette härten und so Bedrohungsmöglichkeiten minimieren. Außerdem können sie damit potenzielle Auswirkungen von unentdeckten oder nicht behobenen Schwachstellen mindern und die Ursachen von Schwachstellen angehen, um künftige Wiederholungen zu vermeiden.
Hier finden Sie weitere Details:
Sicherheitstests im SDL von Red Hat
Als Teil seines sicheren Entwicklungs-Lifecycles (Secure Development Lifecycle, SDL) nutzt Red Hat sowohl manuelle als auch automatisierte Techniken zum Scannen und Testen unseres Quellcodes, darunter Bedrohungsmodellierung (Threat Modeling), Penetrationstests sowie statische und dynamische Codeanalysen (Static/Dynamic Code Analysis, SAST/DAST).
Die strukturierten Tests umfassen automatisierte Tests, manuelle Tests, Schwachstellentests und Regressionstests. Ausgewählte Software wird darüber hinaus strengeren Sicherheitstests unterworfen, je nach Compliance-Framework oder entsprechender Zertifizierung.
Entdeckte Probleme werden vom Produktmanagementteam – mit unterstützender Anleitung von Red Hat Product Security – nachverfolgt und priorisiert. Da es sich bei unserem Code um Open Source handelt, können Kunden auch auf den Quellcode zugreifen und so ihre eigenen Validierungen durchführen.
Sicherheitsbewertungen der Softwarelieferkette sind ebenfalls ein wichtiger Bestandteil der SDL-Praktiken von Red Hat. Die Systeme in unserer Softwarelieferkette werden von uns genau überwacht, gehärtet und gepatcht, um sie in Einklang mit den Best Practices der Branche zu bringen.
Zuverlässige Sicherheit in der Softwarelieferkette bei Red Hat: Ein Partnerprozessmodell
Die Grundwerte von Red Hat – Freiheit, Verantwortung, Mut und Engagement – stehen im Zentrum unserer Prozesse und unserer Interaktionen untereinander und mit unseren Kunden. Bei Red Hat Product Security wenden wir diesen offenen Ansatz an, um eine Produktsicherheitspartnerschaft aufzubauen. Diese soll die Zusammenarbeit bei Sicherheitsproblemen im Zusammenhang mit der Softwarelieferkette erleichtern.
Unser Product Pipeline Partnership Security Program enthält einen fest integrierten Geschäftsprozess, um Sicherheitsprobleme sowohl proaktiv als auch reaktiv anzugehen.Wir identifizieren wichtige Kontaktpunkte und Eskalationswege, fördern funktionsübergreifende geschäftliche Beziehungen und stellen sicher, dass die Prioritäten der Arbeitsbereiche eindeutig sind.
Durch den klar beschriebenen Prozess und die Identifizierung wichtiger Personen steigt das Engagement und wächst das Bewusstsein in der gesamten Lieferkette. Dies führt zu einer effizienteren Sicherheitsreaktion auf Probleme in der Lieferkette und schafft im gesamten Unternehmen ein Gefühl der Zusammenarbeit und Partnerschaft. Mit diesem Kooperationsmodell kann Sicherheit auf die zunehmend proaktiven Aktivitäten in der Lieferkette konzentriert werden. Gleichzeitig kann sich die Wahrnehmung von Sicherheit ändern – von blockierenden Stellen hin zu Partnern.
