关于 Red Hat Trusted Application Pipeline


Red Hat Trusted Application Pipeline 1.3

了解如何使用红帽受信任的应用程序管道保护您的软件开发生命周期。

Red Hat Trusted Application Pipeline Documentation Team

摘要

本文档概述了红帽受信任的应用程序管道 RHTAP,详细介绍了其主要功能、技术,以及团队如何有效地构建、测试和部署安全应用程序。

前言

保护软件供应链对于防止软件漏洞至关重要。红帽受信任的应用程序管道在整个软件开发生命周期(SDLC)中嵌入安全性,使团队能够在遵循最高安全标准的同时进行创新。

第 1 章 概述

Red Hat Trusted Application Pipeline RHTAP 是一个 DevSecOps 框架,它将安全性从项目启动集成到生产环境。它通过嵌入安全检查、确保工件完整性并启用符合软件 Artifacts (SLSA)的标准,从而降低持续集成/持续交付(CI/CD)管道中的安全风险。

1.1. 主要特性

  • 现成的模板 :利用包含已建立的安全实践的可定制模板快速启动项目。缩短设置时间并专注于更早地交付安全软件。
  • 安全 CI/CD 管道 :使用与您的 Git 存储库集成的预配置管道,安全地构建、测试和部署容器镜像。在每个阶段应用安全措施,以减少代码到达生产环境前的风险。
  • 集成的安全检查 :检测和解决潜在的漏洞,并详细分析以帮助了解潜在的威胁。
  • SBOM 管理 :自动为每个管道运行生成软件 Bill of Materials (SBOM)。注册并维护组件来源的清晰记录,确保整个软件生命周期中可追溯性和合规性。
  • 篡改工件签名 :将加密签名应用到代码提交和相关工件。维护构建和部署活动的不可变日志,以保持信任和完整性。
  • 合规和策略实施 :完全符合 Supply chain Levels (SLSA) Level 3 和企业要求。配置批准测试、运行漏洞扫描和强制策略,以便仅验证兼容工件。

1.2. 集成技术

RHTAP 与业界领先的平台和工具集成:

组件或技术描述

Red Hat Developer Hub (RHDH)

自助服务门户,可简化开发并集成来自 get-go 的安全最佳实践。

Red Hat Trusted Artifact Signer (RHTAS)

通过签名和测试增强了软件完整性,确保所有工件都是安全和真实的。

Red Hat Trusted Profile Analyzer (RHTPA)

自动创建和管理 SBOM,在软件供应链中提供透明性和合规性。

高级集群安全性(ACS)

自动扫描工件以了解漏洞。

OpenShift GitOps

使用 Git 存储库管理 Kubernetes 部署和基础架构,确保一致的、自动化和安全部署实践。

OpenShift Pipelines

自动化 CI/CD 流程,对构建、测试和部署工作流具有可见性和控制。

Argo CD

自动化应用程序部署和生命周期管理,确保应用程序定义、配置和环境的一致性版本。

1.3. 配置选项

RHTAP 在 CI/CD 管理、源存储库和工件 registry 中实现灵活性:

类别选项

CI/CD 管道

  • Tekton (默认)
  • Jenkins
  • GitHub 操作(技术预览)
  • Gitlab CI
注意

除 Tekton 外的所有 CI 管道都符合 SLSA 构建 L2。Tekton 符合 Build L3。

源存储库

  • GitHub(默认)
  • GitLab
  • Bitbucket 云

工件 registry

  • Quay (默认)
  • JFrog Artifactory

第 2 章 开发工作流

RHTAP 在 DevSecOps 工作流的每个步骤集成安全性:

  • 安全模板开始: 利用 Red Hat Developer Hub (RHDH)的预建模板,实现安全基础。这些模板包括代码存储库、文档和预先配置的 CI/CD 管道。
  • 开发和修改代码: 创建应用后修改您的代码。每个代码更改都会触发管道运行,它自动执行安全检查,包括工件签名、漏洞扫描和 SBOM 生成。
  • 受管部署: RHTAP 使用企业合同(EC)在开发周期(从开发到生产)实施安全策略。这样可确保仅部署兼容构建。





更新于 2024-12-11

法律通告

Copyright © 2024 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.