在2023红帽全球峰会上，红帽推出红帽可信软件供应链（Red Hat Trusted Software Supply Chain）解决方案，从而增强对软件供应链漏洞的韧性。作为该解决方案的一部分，两项新的云服务——红帽可信应用管道（Red Hat Trusted Application Pipeline）和红帽可信内容（Red Hat Trusted Content）将与现有的红帽软件和云服务（包括Quay和高级集群安全ACS）一起以预览模式加入，以推进DevSecOps实践的成功采用，并将安全嵌入到软件开发生命周期中。

通过红帽可信软件供应链，客户可以更快速、高效地使用经过验证的平台、可信内容以及实时安全扫描和修复来编写、构建和监控他们的软件。该解决方案建立在红帽公司三十多年来赢得客户和行业信任的基础上，通过持续提供经过加固的开源解决方案，帮助企业更轻松地加速混合云的采用，并保持有效的IT安全姿态。

红帽可信软件供应链

现在有75%的应用代码库由开源代码组成，这些组件受到更严格的审查，尤其是由于软件供应链攻击自2020年以来增长了742%。客户希望将防护措施整合到软件供应链和开发生命周期中，以加速创新而不损害安全性。

作为红帽可信软件供应链的一部分，提供的软件和服务增强了组织在现代软件开发生命周期中的韧性。红帽可信内容建立在经过安全增强的系统软件基础上，仅在红帽企业版Linux中就有数千个可信包，并提供了Java、Node和Python生态系统中关键应用运行时的目录。该服务为客户提供了经过企业硬化的可信内容，并提供有关客户应用中开源包的知识。

红帽可信应用管道的基础来自红帽在创建、启动和维护sigstore方面的基础工作，该方案为云原生安全签名提供了免费可用的标准，并向许多上游社区提供了关键的共享安全基础设施。可信应用管道提供了面向安全的持续集成/持续交付（CI/CD）服务，简化了采用红帽用于构建生产软件的流程、技术和专业知识的过程。

将软件创新与源代码安全相结合

在未来几周内以服务预览形式提供的红帽可信内容，将为开发人员提供有关其开源软件依赖项中已知漏洞和安全风险的实时知识。该服务还将提供可用的修复措施建议，以最小化风险，帮助减少开发时间和成本。红帽可信内容提供了访问由红帽构建和策划的开源软件内容，具有溯源和证明，采用了红帽内部的最佳实践。一旦应用投入生产，该服务会主动监视并向用户提供关于开源依赖项中已知的新风险和新兴风险的警报，以便更快地应对新兴威胁。

红帽可信应用管道以服务预览的形式提供，帮助客户通过集成的持续集成/持续交付（CI/CD）管道，增强应用软件供应链的安全性。应用可以更有效地构建，并且可以更轻松地集成到Linux容器中，通过几次点击即可部署到红帽OpenShift或其他Kubernetes平台上。以前，这通常是一个高度手动化的过程，需要数百行自动化代码来构建、测试和部署容器化应用。这种手动过程引入了潜在的摩擦和人为错误，增加了新的风险点，降低了整体速度。

通过红帽可信应用管道，红帽客户可以：

• 导入git存储库，并通过云服务配置容器原生的持续构建、测试和部署管道，只需几个步骤；

• 检查源代码和传递依赖项；

• 在构建过程中自动生成软件材料清单（SBOM）；

• 通过发布准则策略引擎验证和推广容器镜像，帮助确保符合供应链软件工件的级别（SLSA）等行业框架的一致性。