Panoramica
Red Hat Product Security collabora con i team di ingegneria per promuovere lo sviluppo sicuro del software e realizzare software di alta qualità, che risponda sia alle esigenze aziendali dei nostri clienti sia ai requisiti di conformità e dei governi. La sicurezza che Red Hat integra nell'approccio e nel ciclo di vita dello sviluppo è conforme ai framework e ai requisiti del settore, come NIST SSDF, SLSA e SP-800-218, ma anche alle direttive degli standard OWASP e ISO.
Red Hat gestisce la sicurezza del software adottando procedure di sviluppo che integrino questo aspetto in ogni fase del ciclo di vita. In questo modo, i team di ingegneria riescono a mitigare le vulnerabilità dei software rilasciati, rafforzare la catena di distribuzione per limitare le possibili minacce, ridimensionare le possibili ripercussioni dovute a criticità non rilevate o non risolte e gestirne le cause root per evitare che si ripetano.
Per ulteriori dettagli, vedi:
Test di sicurezza nell'SDL di Red Hat
Nel ciclo di vita dello sviluppo sicuro (SDL), Red Hat impiega tecniche manuali e automatizzate per effettuare la scansione e i test del codice sorgente. Sono comprese attività come la modellazione delle minacce, i test di penetrazione e l'analisi del codice statico e dinamico (SAST, DAST).
I test strutturati includono test automatizzati, test manuali, test delle vulnerabilità e test di regressione. Inoltre, alcuni software vengono sottoposti a test di sicurezza più rigorosi, a seconda della certificazione o del framework di conformità applicabile.
Per tutti i problemi rilevati, i team di gestione del prodotto effettuano il monitoraggio e l'assegnazione delle priorità in base alle indicazioni di Red Hat Product Security. Il codice di Red Hat è open source, pertanto i clienti possono anche accedere al codice sorgente per effettuare le proprie verifiche.
Un altro aspetto essenziale dell'SDL di Red Hat sono le valutazioni della sicurezza sulla catena di distribuzione del software. Dedichiamo particolare attenzione al monitoraggio, al potenziamento e alle patch dei sistemi nella nostra catena di distribuzione del software; un approccio in linea con le procedure consigliate nel settore.
Garanzia di sicurezza della catena di distribuzione del software di Red Hat: un modello di processo basato su partnership
I valori su cui fonda Red Hat, ossia libertà, responsabilità, coraggio e impegno, sono alla base di ogni processo e interazione, siano essi interni o esterni all'azienda. Il team Red Hat Product Security adotta questo approccio aperto per creare collaborazioni dedicate alla gestione della sicurezza direttamente correlata alla catena di distribuzione del software.
Nel Product Pipeline Partnership Security Program, adottiamo un processo aziendale integrato per risolvere i problemi di sicurezza in modo proattivo e reattivo. Individuiamo i punti di contatti primari e le procedure di segnalazione ai livelli superiori, sosteniamo un approccio cooperativo tra i diversi reparti e funzioni dell'azienda e garantiamo che le priorità del flusso di lavoro siano trasparenti.
Con processi e ruoli chiave ben definiti, la partecipazione e la consapevolezza sull'importanza della sicurezza aumentano nell'intera catena di distribuzione. Questo porta a una risposta più efficiente ai problemi di sicurezza legati alla catena di distribuzione, consolidando al contempo la collaborazione a livello aziendale. Con questo modello collaborativo, i team di sicurezza diventano indispensabili contributori su cui fare affidamento e possono dedicarsi a iniziative sempre più proattive nella catena di distribuzione.
Ulteriori informazioni
- Garanzia di sicurezza della catena di distribuzione del software di Red Hat
- Cos'è la sicurezza della catena di distribuzione del software?
- Articolo del blog: Understanding open source software supply chain risks
- Scopri le tendenze globali in materia di sicurezza della catena di distribuzione del software