Présentation
Le service Red Hat Product Security travaille avec nos équipes d'ingénierie pour promouvoir le développement sécurisé de logiciels de qualité qui répondent aux besoins métier des clients et aux exigences gouvernementales et de conformité. Notre cycle de développement sécurisé et notre approche sont directement alignés sur les cadres et exigences du secteur, tels que le NIST SSDF, le SLSA et le SP-800-218, ainsi que sur les conseils de l'OWASP et les normes ISO.
Chez Red Hat, nous gérons efficacement la sécurité logicielle grâce à la mise en œuvre de pratiques de développement sécurisé, que les équipes d'ingénierie appliquent pour réduire les vulnérabilités des versions publiées, pour sécuriser la chaîne d'approvisionnement des logiciels afin de réduire les possibilités de menaces, pour limiter l'impact potentiel de vulnérabilités non détectées ou non traitées, ainsi que pour gérer les causes profondes des vulnérabilités afin d'éviter leur réapparition.
Pour en savoir plus, consultez les articles suivants :
Tests de sécurité dans le cadre du cycle de développement sécurisé de Red Hat
Dans le cadre du cycle de développement sécurisé, nous utilisons des techniques manuelles et automatisées pour analyser et tester notre code source, notamment la modélisation des menaces, les tests de pénétration et les tests statiques et dynamiques du code (SAST, DAST).
Les tests structurés incluent des tests manuels et automatisés, des tests des vulnérabilités et des tests de régression. Certains logiciels sont soumis à d'autres tests de sécurité rigoureux en fonction du cadre de conformité ou de la certification applicable.
Tous les problèmes détectés sont suivis et hiérarchisés par l'équipe de gestion des produits avec les conseils du service Red Hat Product Security. Parce que notre code est Open Source, les clients peuvent également le consulter afin d'effectuer leurs propres validations.
Les évaluations de sécurité de la chaîne d'approvisionnement des logiciels sont également essentielles dans le cadre de notre cycle de développement sécurisé. Les systèmes de notre chaîne d'approvisionnement des logiciels sont étroitement surveillés, sécurisés et renforcés grâce à des correctifs pour respecter les meilleures pratiques du secteur.
Sécurité de la chaîne d'approvisionnement des logiciels chez Red Hat : un modèle basé sur le partenariat
Nos valeurs de liberté, de responsabilité, de courage et d'engagement sont au cœur de nos processus et de nos interactions entre nous et avec les clients. Au sein du service Red Hat Product Security, nous appliquons cette approche ouverte afin de créer un partenariat autour de la sécurité des produits dans le but de faciliter la résolution collaborative des problèmes de sécurité directement liés à la chaîne d'approvisionnement des logiciels.
Dans le cadre du programme Product Pipeline Partnership Security Program, nous avons créé un processus métier intégré qui nous permet de traiter les problèmes de sécurité, à la fois de manière proactive et réactive.Nous identifions les points de contact clés et les procédures de transmission, nous favorisons les relations métier interfonctionnelles et nous veillons à la clarté des priorités liées aux différents champs d'activité.
Grâce à un processus bien défini et à l'identification des principaux acteurs, l'engagement et la sensibilisation se renforcent dans toute la chaîne d'approvisionnement. Il est ainsi possible de mieux répondre aux problèmes de sécurité de la chaîne d'approvisionnement tout en créant un sentiment de collaboration et de partenariat au sein de l'entreprise. Avec ce modèle collaboratif, la sécurité peut être axée sur des activités de plus en plus proactives dans la chaîne d'approvisionnement et ainsi être perçue comme un atout plutôt qu'un frein.
Informations supplémentaires
- Sécurité de la chaîne d'approvisionnement des logiciels chez Red Hat
- Lire l'article : La sécurité de la chaîne d'approvisionnement des logiciels, qu'est-ce que c'est ?
- Comprendre les risques liés à la chaîne d'approvisionnement
- Découvrir les tendances mondiales en matière de sécurité pour les chaînes d'approvisionnement des logiciels