1.5. ソフトウェアのサポート
Red Hat のソリューションスタック全体を支えているのは、安全なソフトウェアのサプライチェーンです。Red Hat のセキュリティー戦略の要であるこの戦略的に重要な一連の実践と手順の目標は、セキュリティーが前もって組み込まれ、長期的にサポートされるソリューションを提供することです。Red Hat の具体的な取り組みは以下の通りです。
- アップストリームの関係とコミュニティーの関係を維持することで、最初からセキュリティーに重点を合わせることができます。
- セキュリティーおよびパフォーマンス追跡レコードに基づいてパッケージを選択して設定します。
- (アップストリームビルドを受け入れる代わりに) 関連付けられたソースコードからバイナリーをビルドします。
- 検査および品質保証ツールのスイートを適用して、潜在的なセキュリティー問題やリグレッションを防ぎます。
- リリースされたすべてのパッケージにデジタル署名し、暗号化で認証されたディストリビューションチャンネルで配布します。
- パッチと更新を配信するための単一の統合メカニズムを提供します。また、OpenStack の基盤となる Red Hat Enterprise Linux と KVM コンポーネントも Common Criteria の認証を受けています。これは、サードパーティー監査人が実際にサイトを訪問し、サプライチェーンや開発などのグッドプラクティスを遵守しているかどうかをスタッフにインタビューするというものです。
さらに、Red Hat は、製品に対して脅威と脆弱性を分析する専用のセキュリティーチームを維持し、カスタマーポータルから適切なアドバイスと更新を提供します。このチームは、ほとんどが理論上の問題である問題とは対照的に、どの問題が重要であるかを決定します。Red Hat Product Security チームは専門知識を保ち、弊社のサブスクリプション製品に関連するアップストリームのコミュニティーへの大規模な貢献を行います。プロセスの重要な部分である RedHat Security アドバイザリーは、脆弱性が最初に公開された日に頻繁に配布されるパッチとともに、Red Hat ソリューションに影響を与えるセキュリティーの欠陥を事前に通知します。