Red Hat Summit第1章 Red Hat Trusted Application Pipeline について
高度なアプリケーションには、複雑なソフトウェアサプライチェーンがあります。ソフトウェアサプライチェーンが長くなるほど、あらゆる種類の攻撃に対して脆弱になります。Red Hat Trusted Application Pipeline (RHTAP) では、ソフトウェア開発ライフサイクルのすべてのフェーズを保護します。RHTAP は、セキュアな CI/CD を使用してソースコードをビルド、テスト、デプロイ、監視することができ、包括的なセキュリティーツールセットによりソフトウェアサプライチェーン全体を保護します。
RHTAP の主な機能
- Git ソースコードから組み込みの開発環境にコンテナーイメージを継続的にビルド、テスト、デプロイします。
- すぐに使用できるテンプレートで、学習とカスタマイズを直ちに開始できます。
- Java、Python、Node、Go、または npm ベースのアプリケーションをコンテナーイメージにビルドします。
- セルフサービス開発者ポータルである Red Hat Developer Hub にアクセスできます。
- Software Bill of Materials (SBOM) を生成、確認、管理します。
- Tekton Chains を使用して、コンテナーイメージの来歴を暗号的に署名およびアテストします。
- 40 を超えるルールに照らして、レベル 3 までのコンテナーイメージの SLSA コンプライアンスを検証します。
- マージリクエストごとに脆弱性をスキャンし、可能な限り早い段階でセキュリティーの脅威を特定して対処します。
対象ユーザー
プラットフォームエンジニア、アプリケーション開発者、またはセキュリティーチームのメンバーが対象者です。Red Hat Trusted Application Pipeline には、社内開発者ポータルをインストール、設定、カスタマイズして、開発ライフサイクル全体のソフトウェアサプライチェーンを保護するために必要なものがすべて揃っています。
仕組み
Red Hat Trusted Application Pipeline (RHTAP) を使用すると、DevSecOps CI/CD プロセス全体を効率し、保護することができます。
最初からセキュアな開発
RHTAP をインストールして設定したら、Red Hat Developer Hub 内から構築済みのセキュアなテンプレートにアクセスします。すぐに使用できる適切なソフトウェアテンプレートを選択し、必要な詳細を入力して、新しいアプリケーションを作成します。これにより、コードリポジトリー (ソースコードと GitOps リポジトリー)、技術ドキュメント、継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインなど、必要なものをすべて備えた専用の開発環境が作成されます。
開発ライフサイクル全体にわたるセキュリティースキャン
ソースコードを編集すると、アプリケーション内でパイプライン実行がトリガーされます。このパイプラインにより、すべてのビルドアーティファクトが署名およびアテストされ、信頼性が確認されます。また、コード内の脆弱性がスキャンされ、Software Bill of Materials (SBOM) が自動的に生成されます。この SBOM には、コンテナーイメージに含まれるすべてのコンポーネント、ライブラリー、依存関係の詳細が記載されており、アプリケーションの構成の完全な透明性が確保されます。
確認、改良、リリース
パイプラインにより、特定された脆弱性が提示されるため、脆弱性を確認して修復できます。また、SBOM を確認すると、アプリケーションのコンポーネントをより深く理解できます。アプリケーションは、プロモートのワークフローに応じて、開発環境、ステージング環境、そして最終的に実稼働環境へとプロモートできます。プロモートするたびに、また別のパイプライン実行がトリガーされ、脆弱性のスキャンと Enterprise Contract (EC) の適用が実行されます。EC は、リリース前に、事前に定義された品質およびセキュリティー標準をコンテナーイメージが満たしていることを確認します。イメージがこの基準を満たしていないと、EC は必要な修正内容を示す詳細なレポートを発行します。
RHTAP を使用したこのような効率的なアプローチにより、開発者は開発ライフサイクル全体を通じて最高レベルのセキュリティー標準を維持しながらイノベーションに集中できます。
RHTAP の仕組みをよりよく理解するには、RHTAP をサポートする、または RHTAP によってサポートされるさまざまなコンポーネントとテクノロジーについて説明した次のリストを参照してください。
| コンポーネントとテクノロジー | 説明 |
|---|---|
| Red Hat Developer Hub | RHDH を使用すると、セキュアなソフトウェア開発に役立つ多数のリソースとツールにアクセスできるため、効率的かつ簡単に RHTAP の使用を開始できます。RHDH は、ベストプラクティスを推奨し、開発プロセスの最初からセキュリティー対策を組み込むことを容易にします。 |
| Red Hat Trusted Artifact Signer | RHTAS は、コードのすべての部分とすべてのアーティファクトが署名およびアテストされていることを確認することで、ソフトウェアインテグリティーを強化します。RHTAS は、すべてのソフトウェアコンポーネントの保護と信頼性を確認するための検証可能な信頼チェーンを提供します。 |
| Red Hat Trusted Profile Analyzer | RHTPA は Software Bill of Materials (SBOM) の作成を自動化します。SBOM は、ソフトウェア製品に含まれるすべてのコンポーネント、ライブラリー、依存関係の詳細なリストを提供するため、ソフトウェアサプライチェーンの透明性とコンプライアンスを維持する上で非常に重要です。RHTPA を使用して SBOM を生成および管理すると、ソフトウェアの設定に関する正確で最新の情報をステークホルダー全員が確実に把握できるようになります。 |
| OpenShift | RHTAP は、コンピュートリソースとして OpenShift Container Platform (OCP) クラスターを使用します。また、OCP は、ワークフローを標準化し、開発ライフサイクル全体のセキュアな管理を容易にするさまざまなサービスを提供するコンソールを備えています。 |
| GitHub | RHTAP は、プルリクエスト (PR) のパイプライン定義に従ってビルドを自動的に開始します。また、チェック API に従って PR テストのフィードバックを表示します。テストが成功したら PR を自動マージするように設定することもできます。 |
| Argo CD | GitOps をベースとした Argo CD は、アプリケーションの定義、設定、環境のバージョンを宣言および制御し、アプリケーションのデプロイとライフサイクル管理を自動化および追跡します。 |
| Tekton ビルドパイプライン | RHTAP を使用してビルドすると、完全な Tekton ビルドパイプラインがリポジトリーに保存されます。 |
| Tekton Chains | RHTAP は、Tekton Chains を使用して、署名されたビルドパイプラインのアテステーションを生成できます。 |
関連情報
- RHTAP の使用開始に関する詳細は、Red Hat Trusted Application Pipeline のスタートガイド を参照してください。
- Red Hat Developer Hub の詳細は、Red Hat Developer Hub 1.1 の製品ドキュメント を参照してください。
- Red Hat Trusted Artifact Signer の詳細は、Red Hat Trusted Artifact Signer デプロイメントガイド を参照してください。
- Red Hat Trusted Profile Analyzer の詳細は、Red Hat Trusted Profile Analyzer の製品ドキュメント を参照してください。
- OpenShift の詳細は、OpenShift を参照してください。
- Argo CD の詳細は、Argo CD を参照してください。
- Tekton ビルドパイプラインの詳細は、Tekton build pipeline を参照してください。
- Tekton Chains の詳細は、Tekton Chains を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}