admin Red Çizgi, yazılım tedarik zincirindeki zafiyetlere karşı dayanıklılığı artıracak tahlili Red Sınır Trusted Software Supply Chain’i duyurdu. Bu tahlilin bir kesimi olarak da DevSecOps çalışmalarının muvaffakiyetle benimsenmesini ve güvenliği yazılım geliştirme ömür döngüsüne dahil edilmesini hızlandırmak için iki yeni bulut hizmeti Red Sınır Trusted Application Pipeline ve Red Çizgi Trusted Content de öngösterim modunda Quay ve Advanced Cluster Security (ACS) üzere mevcut Red Sınır yazılım ve bulut hizmetlerine ekliyor.
Red Sınır Trusted Software Supply Chain ile müşteriler muteber platformları, emniyetli içerikleri ve gerçek vakitli güvenlik tarama ve tehdit giderme imkanlarını kullanarak yazılımlarını kodlama, oluşturma ve gözlemleme süreçlerini daha süratli ve verimli bir formda gerçekleştirebiliyor. 30 yıldan uzun müddettir müşterilerinden ve dalından edindiği inanç üstüne kurulan Trusted Software Supply Chain ile Red Sınır, şirketlerin hibrit bulutu daha süratli benimsemesine yardımcı olurken BT güvenlik yapılarını da verimli bir biçimde sürdürmelerini sağlayan güçlendirilmiş açık kaynak tahlilleri sağlıyor.
Uygulama kod tabanının yüzde 75’inin açık kaynak kodlarıyla oluşmasıyla ve 2020’den bu yana yazılım tedarik zincirlerine yönelik saldırıların yüzde 742 artmasıyla birlikte bu bileşenler dikkatle inceleniyor.
Red Çizgi Trusted Software Supply Chain’in bir modülü olarak sunulan yazılımlar ve hizmetler, şirketlerin çağdaş yazılım geliştirme ömür döngüsündeki zafiyetlere karşı dayanıklılığını artırıyor. Red Sınır Trusted Content yalnızca Red Çizgi Enterprise Linux’ta binlerce muteber paket ile birlikte Java, Node ve Python ekosistemlerinde kritik uygulama çalıştırma vakitleri kataloğu sayesinde güvenliği uygunlaştırılmış sistemlerin yazılımını temel olarak oluşturuluyor. Bu hizmet, müşterilere uygulamalarındaki açık kaynaklı paketler için kurumsal olarak güçlendirilmiş sağlam içerik ve bilgi sağlıyor.
Red Sınır Trusted Application Pipeline‘ın temeli de Red Hat’in bulutta lokal inançlı imzalama için serbestçe kullanılabilen bir standart sağlamanın yanı sıra birçok üst akış topluluğuna kritik paylaşılan güvenlik altyapısı modülleri sağlayan sigstore’un oluşturulması, çalıştırılması ve bakımında üstlendiği temel rolden geliyor. Trusted Application Pipeline, Red Hat’in üretim yazılımı oluşturmak için kullandığı süreçlerin, teknolojilerin ve uzmanlığın benimsenmesini kolaylaştıran ve güvenliği öne çıkaran bir Daima Entegrasyon/Sürekli Teslim (CI/CD) hizmeti sunuyor.
Önümüzdeki haftalarda hizmet öngösterimi olarak erişime açılacak Red Çizgi Trusted Content geliştiricilere kullandıkları açık kaynak yazılımlarda bilinen zafiyetlere ve güvenlik risklerine dair gerçek vakitli bilgiler paylaşacak. Hizmet birebir vakitte riskleri en aza indirmek için alınabilecek aksiyonları da önererek geliştirme müddetini ve maliyetleri azaltacak. Red Çizgi Trusted Content, Red Hat’in dahili en yeterli usullerini kullanarak şirketin oluşturduğu ve düzenlediği açık kaynak içeriklere erişim de sağlayacak. Bir uygulama üretime girdikten sonra hizmet, proaktif olarak gözlemlemelerini yapacak ve kullandıkları açık kaynak hizmetlerde yeni ve büyüyen bir risk oluştuğunda kullanıcıyı bilgilendirerek tehditlerin daha kısa müddette ortadan kalkmasına yardımcı olacak.
Hizmet öngösterimi olarak erişilebilir olan Red Sınır Trusted Application Pipeline, müşterilerin uygulama yazılım tedarik zinciri güvenliğini entegre CI/CD akışıyla iyileştirmesine yardımcı oluyor. Uygulamalar da daha tesirli bir biçimde oluşturulabiliyor ve Linux konteynerlerine daha kolay entegre edilebiliyor. Devamında da Red sınır OpenShift yahut başka Kubernetes platformlarında birkaç tık ile hizmete alınabiliyor. Evvelce konteynerleştirilmiş uygulamaları oluşturmak, test etmek ve hizmete almak için gereken yüzlerce satırlık otomasyon kodunu yazmak genelde son derece manuel işleyen bir süreçti. Bu manuel süreç, yeni risklere kapı aralayarak ve süreci yavaşlatarak insan kusurundan kaynaklanabilecek problemlerin oluşmasına neden olabiliyordu.
Red Çizgi Trusted Application Pipeline ile Red Sınır müşterileri:
- Sadece birkaç adım ile bulut hizmeti üzerinden git depolarını içeriye aktarabiliyor, konteynerlere özel daima oluşturma, test etme ve hizmete alma akışlarını yapılandırabiliyor,
- Açık kaynak kodunu ve geçişli yazılımları inceleyebiliyor,
- Sürüm içinde kod tabanının eksiksiz envanterini (Yazılım Eser Ağacı, Software Bills of Materials) otomatik olarak oluşturabiliyor ve
- Üretim sırasında oluşan yazılım eserleri (Software Artifact) için Tedarik Zinciri Seviyeleri (Supply chain Levels for Software Artifacts, SLSA) üzere sanayi yapılarıyla tutarlılığı doğrulamaya yardımcı olan sürüm kriter unsur motorunu (release criteria policy engine) kullanarak konteyner imajlarını doğrulayabiliyor ve öne çıkartabiliyor.
Red Sınır Lider Yardımcısı ve Bulut Hizmetleri Genel Müdürü Sarwar Raza, hususla ilgili şunları söylüyor: “BT şirketleri yalnızca üretim uygulamalarını oluşturması değil, son eseri oluşturan bileşenlerin güvenliğini de artırması gerekiyor. Açık kaynak bileşenlerinin çıkış noktasını doğrularken teslim akışında hareket eden kodu ve akışın kendisini taramak ve çevik geliştirme ve teslim uygulamalarını mecburî kılmak, CIO’lar için kıymetli bir zorluk olabilir. Red Sınır Trusted Software Supply Chain, Red Hat’in açık kaynak yazılım tedarik zincirlerindeki onlarca yıllık tecrübesini basitçe entegre edilen ve kolaylıkla tüketilen hizmetler halinde kodlayarak üretim uygulamaları etrafında itimat oluşturmakla kalmayıp birebir vakitte bunları pazara daha süratli bir formda sunmaya da yardımcı olarak bu muhtaçlıkları gidermek için tasarlandı.”
IDC Geliştirme ve Açık Kaynak Küme Lider Yardımcısı Al Gillen ise görüşlerini şu formda aktarıyor: “Tedarik zincir güvenliği, içinde açık kaynak eseri bulunan yahut bu eserlerden avantaj kazanan misyon-kritik sistemlerin ve uygulamaların sayısını artıran BT şirketlerinin günümüzde karşılaştığı en kıymetli önceliklerden birisi. Red Çizgi Trusted Software Supply Chain Security, Red Hat’in uzun müddettir devam eden dahili tedarik zinciri akışlarının ve süreçlerinin üzerine kuruluyor ve inançlı çağdaş uygulamalar oluşturma konusunda dal için ileriye gerçek atılmış büyük bir adım olarak öne çıkıyor. Bu eserin Red Hat’in tahlil setini geliştirici topluluğuna mevcut Red Çizgi ekosisteminin ötesinde açması, yani yalnızca RHEL geliştiricilerinin değil, her çağdaş uygulama geliştiricisinin bu tahlilden yararlanabilmesi de bir o kadar kıymetli.”
iPhone aldığınızda yapmanız gerekenler! 
Hakkı Alkan’dan yeni teşebbüs: Co-Founder.Academy! 
Procreate Dreams Yayınlandı 
GigaFiber ne vakit yaygınlaşacak? TurkNet CEO’suna sorduk! 
Windows App ile iPhone, iPad ve Mac’ten Windows PC’lere Erişilebilecek 
Taşınabilir Tahliller En Verimli Nasıl Kullanılır?