红帽全球峰会
概述
红帽产品安全团队与工程团队强强联合,着力推动安全软件开发,确保我们推出的优质软件满足客户的业务需求和政府/合规性要求。红帽的安全开发生命周期和方法完全符合 NIST SSDF、SLSA 和 SP-800-218 等行业框架和要求,以及 OWASP 和 ISO 标准的指导要求,让您无需在这方面投入过多精力。
红帽建立了一系列安全软件开发实践来有效掌管软件安全防护,利用这些实践,工程团队可以减少已发布软件中的漏洞、强化软件供应链以最大限度地减少威胁、减轻未检测到或未处理的漏洞的潜在影响,并解决导致出现漏洞的根本原因,以防止今后再次发生类似问题。
有关更多详细信息,请参阅:
红帽 SDL 中的安全性测试
在安全开发生命周期(SDL)内,红帽使用手动和自动化技术来扫描和测试我们的源代码,包括威胁建模、渗透测试以及静态和动态代码分析(SAST、DAST)。
结构化测试包括自动化测试、手动测试、漏洞测试和回归测试。除此以外,根据适用的合规性框架或认证,所选软件还要经过更加严格的安全性测试。
产品管理团队会按照红帽产品安全部门的指导,对发现的所有问题进行跟踪并确定它们的优先级。由于我们的代码是开源的,客户也可以访问源代码自行验证。
对软件供应链进行安全性评估是红帽 SDL 实践中的重要一环。我们会根据行业最佳实践,密切监控、强化和修补软件供应链中的系统。
红帽软件供应链安全防护保障:合作伙伴流程模型
红帽的核心价值观是自由、负责、勇气和决心,这既是我们各种工作流程的核心,也是我们员工之间以及与客户互动时秉持的核心理念。红帽的产品安全团队也同样践行这种开放理念来打造产品安全服务合作伙伴关系,致力于推动合作解决与软件供应链直接相关的安全问题。
在产品管道合作伙伴关系安全防护计划中,我们设定了一套完善的业务流程,既有预防性的措施,也有迅速应对已出现问题的响应式措施。我们会明确关键联络人和问题呈报路径、推动跨部门或团队之间的合作和沟通,并确保工作流的优先级明确无误。
设定好了清晰的流程和关键责任人后,供应链中各个相关方在安全问题上就能更积极参与及协作,并对供应链安全防护有更加清晰的了解。这有助于提高针对供应链问题的安全响应效率,同时提升整个企业组织内的协作和伙伴关系意识。通过这种协作模式,安全团队可以将注意力集中在实施更多预防性的安全活动上,同时扭转他们在组织中的角色认知,从原来被视为阻碍业务发展的角色,转变为与其他部门和团队并肩努力的伙伴,共同打造更加安全的生态系统,共同推动业务发展。
