개요
Red Hat Product Security는 Red Hat 엔지니어링 팀과 협력하여 안전한 소프트웨어 개발을 촉진함으로써 고객의 비즈니스 요구 사항 및 정부/컴플라이언스 요구 사항에 부합하는 고품질 소프트웨어를 구현합니다. Red Hat의 안전한 개발 라이프사이클 및 접근 방식은 NIST SSDF, SLSA, SP-800-218과 같은 산업 프레임워크 및 요구 사항은 물론, OWASP 및 ISO 표준 지침에 직접적으로 부합합니다.
Red Hat은 릴리스되는 소프트웨어의 취약점을 줄이고 소프트웨어 공급망을 강화해 위협 기회를 최소화하며, 감지 또는 해결되지 않은 취약점의 잠재적 영향을 완화하고, 취약점의 근본 원인을 해결하여 향후 재발을 방지하기 위해 엔지니어링 팀이 사용하는 안전한 소프트웨어 개발 사례를 마련함으로써 소프트웨어 보안을 효과적으로 관리합니다.
자세한 내용은 다음을 참조하세요.
Red Hat SDL의 보안 테스트
안전한 개발 라이프사이클(Secure Development Lifecycle, SDL)의 일환으로 Red Hat은 위협 모델링, 침투 테스트, 정적 및 동적 코드 분석(SAST, DAST) 등 수동 및 자동화된 기술을 모두 사용하여 소스 코드를 스캔하고 테스트합니다.
구조화된 테스트에는 자동화된 테스트, 수동 테스트, 취약점 테스트, 회귀 테스트가 포함됩니다. 일부 소프트웨어는 적용할 수 있는 컴플라이언스 프레임워크나 인증에 따라 구조화된 테스트 이외에도 더욱 엄격한 보안 테스트를 거칩니다.
발견된 모든 문제는 Red Hat Product Security의 지침에 따라 제품 관리 팀이 추적하고 우선순위를 지정합니다. Red Hat의 코드는 오픈소스이므로 고객도 소스 코드에 액세스하여 자체적으로 검증을 실시할 수 있습니다.
소프트웨어 공급망에 대한 보안 평가도 Red Hat의 SDL 작업에 매우 중요합니다. Red Hat은 업계 모범 사례에 따라 Red Hat의 소프트웨어 공급망의 시스템을 면밀히 모니터링하고 강화하며 패치를 적용합니다.
Red Hat의 소프트웨어 공급망 보안 보증: 파트너십 프로세스 모델
Red Hat의 핵심 가치인 자유, 책임, 용기, 헌신은 Red Hat의 프로세스와 서로 간의 상호작용, 그리고 고객과의 관계의 중심에 있습니다. Red Hat은 제품 보안에 있어 개방적인 접근 방식을 적용하여 제품 보안 파트너십을 구축함으로써 소프트웨어 공급망과 직접적으로 관련된 보안 문제의 해결을 위한 협업을 촉진합니다.
Red Hat의 제품 파이프라인 파트너십 보안 프로그램에는 보안 문제를 사전에 예방하고 사후에 대응하여 해결하기 위한 비즈니스 프로세스가 내장되어 있습니다. Red Hat은 주요 연락처와 에스컬레이션 경로를 파악하고, 부서 간 비즈니스 관계를 촉진하며, 명확한 작업 흐름 우선순위를 지정합니다.
프로세스가 명확히 기술되고 핵심 인력이 파악되면 공급망 전반에서 참여와 인식이 높아집니다. 그 결과 공급망 문제에 대한 보안 대응의 효율성이 강화되는 동시에 전사적으로 협업 및 파트너십 의식이 조성됩니다. 이러한 협업 모델을 사용함으로써 보안 팀은 공급망에서 더욱 선제적인 활동에 집중하는 동시에 보안이 장애 요인이 아닌 파트너로 인식되도록 전환할 수 있습니다.
