Red Hat e Black Duck rendono sicuri i container Linux

Red Hat e Black Duck rendono sicuri i container Linux

Red Hat e Black Duck collaborano per fornire container Linux sicuri alle imprese e rendere disponibile a sviluppatori e partner un ecosistema per applicazioni solide e affidabili.
Questo avverrà grazie alla verifica che tutti i container siano liberi da vulnerabilità note, e includano solo contenuti certificati. Questa validazione è un importante passo in avanti nell’abilitare la produzione di container per applicazioni adatti alle imprese e si fonda sui contributi di entrambe le aziende – Red Hat con la sua leadership nel campo delle soluzioni e tecnologie container, inclusa la piattaforma e le certificazioni, e Black Duck, con la sua esclusiva posizione di fornitore della più completa tecnologia di identificazione e notifica rapida delle vulnerabilità in ambito open source.

Poiché i container rendono disponibili ambienti operativi stabili per lo sviluppo, il collaudo e l’installazione, stanno rapidamente diventando tecnologia mainstream. La sicurezza dei container, tuttavia – compresa la provenienza, la certificazione e la presenza di procedure affidabili – rappresenta per le imprese un ostacolo all’adozione su ampia scala. Un recente sondaggio condotto per conto di Red Hat su professionisti dell’IT di tutto il mondo per mezzo di TechValidate, mostra che oltre il 60% del campione ha identificato la sicurezza, la certificazione e la provenienza delle immagini nei container come problematiche fondamentali.

Lou Shipley, CEO, Black Duck
La tecnologia dei container è un altro spartiacque nella direzione di sviluppare prodotti con maggiore agilità e di portarli più rapidamente sul mercato. Rapidità e agilità sono fattori chiave nell’adozione dei container nelle imprese, ma questo non deve avvenire a spese della sicurezza. La collaborazione fra Black Duck e Red Hat nasce dal valore combinato che possiamo portare nell’ambiente open source, collaborando alla creazione di container sicuri da utilizzare a livello di impresa.
Lars Herrmann, General Manager, Integrated Solutions, Red Hat
Un elemento significativo nel successo dei container per l’impresa è la possibilità di produrre codice affidabile durante l’intero ciclo di vita di un’applicazione, dallo sviluppo alla gestione. Red Hat e Black Duck stanno estendendo il valore della piattaforma e del processo di certificazione di Red Hat verso una comunità di sviluppatori più ampia e a un solido ecosistema di partner. Questa collaborazione dimostra l’impegno di Red Hat a fornire non solo innovazione nei container basati su Linux, ma anche gli strumenti e l’ecosistema che consentono alle imprese di adottare applicazioni in container sicure, certificate e supportate.

A supporto di queste preoccupazioni, è il fatto che, secondo uno studio di BanyanOps del maggio 2015 il 30% delle immagini ufficiali nel Docker Hub contiene vulnerabilità serie. Per questo motivo, la Deep Container Inspection (DCI) a livello di impresa, assieme a certificazioni, procedure e fiducia, saranno parte integrante dello sviluppo, installazione e gestione dei container – che è esattamente ciò che la collaborazione tra Black Duck e Red Hat mira a fornire.

Come parte iniziale della collaborazione, le due aziende prevedono di integrare il software Black Duck di scansione e mappatura delle vulnerabilità dei container - Black Duck Hub - con OpenShift, l’offerta Platform-as-a-Service di Red Hat che fornisce dati e report sulle potenziali vulnerabilità presenti nelle immagini dei container rese disponibili nel registro OpenShift, il deposito di immagini container convalidate, sicure e affidabili sostenuto da Red Hat. La base di conoscenza di Black Duck rappresenta la dorsale dell’hub e contiene informazioni su 1,1 milioni di progetti open source con informazioni dettagliate su più di 100.000 vulnerabilità open source conosciute in oltre 350 milioni di linee di codice.

Black Duck Hub identifica e cataloga il codice open source nelle applicazioni, mappa le vulnerabilità note ed effettua un monitoraggio dinamico del catalogo, lanciando allarmi sulle nuove vulnerabilità che colpiscono il codice.

OpenShift è la prima piattaforma di applicazioni in container per l’impresa su scala web basata su container Linux formattato Docker, orchestrazione Kubernetes e Red Hat Enterprise Linux. Utilizzata assieme all’hub Black Duck, consente ai client di OpenShift di consumare, sviluppare e far girare applicazioni su container con sempre maggiore sicurezza, sapendo che contengono codice validato e certificate.

Inoltre le aziende prevedono di fornire le tecnologie di Black Duck come servizi complementari all’interno dell’attuale flusso di lavoro di certificazione dei container di Red Hat per gli ISV (Independent Software Vendor). In precedenza, Red Hat aveva annunciato un ecosistema di contenitori certificati end-to-end concentrata sulla preparazione e il supporto delle imprese, simile al lavoro che l’azienda aveva svolto per fare affermare Linux nelle imprese. La tecnologia Black Duck di scansione e mappatura delle vulnerabilità, di reportistica e di integrazione delle basi di conoscenza rappresenta un’ulteriore aggiunta a un processo di certificazione dei container già particolarmente solido.