关于 Red Hat Trusted Application Pipeline
了解如何使用红帽受信任的应用程序管道保护您的软件开发生命周期。
摘要
前言
保护软件供应链对于防止软件漏洞至关重要。红帽受信任的应用程序管道在整个软件开发生命周期(SDLC)中嵌入安全性,使团队能够在遵循最高安全标准的同时进行创新。
第 1 章 概述
Red Hat Trusted Application Pipeline RHTAP 是一个 DevSecOps 框架,它将安全性从项目启动集成到生产环境。它通过嵌入安全检查、确保工件完整性并启用符合软件 Artifacts (SLSA)的标准,从而降低持续集成/持续交付(CI/CD)管道中的安全风险。
1.1. 主要特性
- 现成的模板 :利用包含已建立的安全实践的可定制模板快速启动项目。缩短设置时间并专注于更早地交付安全软件。
- 安全 CI/CD 管道 :使用与您的 Git 存储库集成的预配置管道,安全地构建、测试和部署容器镜像。在每个阶段应用安全措施,以减少代码到达生产环境前的风险。
- 集成的安全检查 :检测和解决潜在的漏洞,并详细分析以帮助了解潜在的威胁。
- SBOM 管理 :自动为每个管道运行生成软件 Bill of Materials (SBOM)。注册并维护组件来源的清晰记录,确保整个软件生命周期中可追溯性和合规性。
- 篡改工件签名 :将加密签名应用到代码提交和相关工件。维护构建和部署活动的不可变日志,以保持信任和完整性。
- 合规和策略实施 :完全符合 Supply chain Levels (SLSA) Level 3 和企业要求。配置批准测试、运行漏洞扫描和强制策略,以便仅验证兼容工件。
1.2. 集成技术
RHTAP 与业界领先的平台和工具集成:
组件或技术 | 描述 |
---|---|
Red Hat Developer Hub (RHDH) | 自助服务门户,可简化开发并集成来自 get-go 的安全最佳实践。 |
Red Hat Trusted Artifact Signer (RHTAS) | 通过签名和测试增强了软件完整性,确保所有工件都是安全和真实的。 |
Red Hat Trusted Profile Analyzer (RHTPA) | 自动创建和管理 SBOM,在软件供应链中提供透明性和合规性。 |
高级集群安全性(ACS) | 自动扫描工件以了解漏洞。 |
OpenShift GitOps | 使用 Git 存储库管理 Kubernetes 部署和基础架构,确保一致的、自动化和安全部署实践。 |
OpenShift Pipelines | 自动化 CI/CD 流程,对构建、测试和部署工作流具有可见性和控制。 |
Argo CD | 自动化应用程序部署和生命周期管理,确保应用程序定义、配置和环境的一致性版本。 |
1.3. 配置选项
RHTAP 在 CI/CD 管理、源存储库和工件 registry 中实现灵活性:
类别 | 选项 |
---|---|
CI/CD 管道 |
注意 除 Tekton 外的所有 CI 管道都符合 SLSA 构建 L2。Tekton 符合 Build L3。 |
源存储库 |
|
工件 registry |
|
第 2 章 开发工作流
RHTAP 在 DevSecOps 工作流的每个步骤集成安全性:
- 从 安全模板开始: 利用 Red Hat Developer Hub (RHDH)的预建模板,实现安全基础。这些模板包括代码存储库、文档和预先配置的 CI/CD 管道。
- 开发和修改代码: 创建应用后修改您的代码。每个代码更改都会触发管道运行,它自动执行安全检查,包括工件签名、漏洞扫描和 SBOM 生成。
- 受管部署: RHTAP 使用企业合同(EC)在开发周期(从开发到生产)实施安全策略。这样可确保仅部署兼容构建。
后续步骤
其它资源
更新于 2024-12-11