Red Hat und Black Duck wollen Linux-Container absichern

22.10.2015

Red Hat und Black Duck wollen Entwicklern, Kunden und Partnern helfen, sichere und vertrauenswürdige Anwendungen zu betreiben, die auf Container-Technologien basieren.

Red Hat und Black Duck Software wollen zusammen ein sicheres und vertrauenswürdiges Modell zur Bereitstellung von Container-Applikationen erarbeiten, bei dem gewährleistet ist, dass es in den Containern keine Sicherheitslücken gibt und sie nur zertifizierten Programmcode enthalten. Während Containertechnologien wie Docker zur Bereitstellung von Anwendungen immer populärer werden, lässt die Sicherheit von Containern noch zu wünschen übrig. In einer aktuellen, von Red Hat beauftragten Umfrage äußerten mehr als 60 Prozent der Befragten Bedenken hinsichtlich Container-Sicherheit, -Zertifizierung und Herkunft der Images. Wie eine im Mai 2015 veröffentlichte Studie von BanyanOps belegt, sind diese Sorgen nicht unberechtigt, denn laut ihr enthalten mehr als 30 Prozent der offiziellen Images im Docker Hub schwere Sicherheitslücken.

In der ersten Phase ihrer Zusammenarbeit wollen beide Unternehmen den Black Duck Hub – die Software von Black Duck, die den Programmcode von Containern hinsichtlich Sicherheitslücken untersucht – mit der PaaS-Lösung OpenShift von Red Hat integrieren und damit Berichte und Daten zu möglichen Sicherheitslücken in Container Images in der OpenShift Registry bereitstellen. OpenShift Registry ist ein von Red Hat unterstütztes Repository mit validierten, sicheren und vertrauenswürdigen Container-Images. Die dahinter stehende Datenbank von Black Duck enthält Informationen über 1,1 Millionen Open-Source-Projekte und Details zu mehr als 100.000 bekannten Sicherheitslücken in mehr als 350 Milliarden Zeilen Programmcode.

Darüber hinaus planen beide Unternehmen, Technologien von Black Duck als komplementäre Services in Red Hats Container-Zertifizierungsprozess für Applikationsentwickler einzubinden. Im Frühjahr dieses Jahres hat Red Hat seine Ecosystem-Strategie für den Einsatz von Linux-Containern im Unternehmen vorgestellt, die sich an der erfolgreichen Strategie zur Verbreitung von Linux in den Unternehmen orientiert. Die Scanning- und Vulnerability-Mapping-Technologie von Black Duck sowie die Integration von Reportingfunktionen und der KnowledgeBase erweitern den bereits sehr umfangreichen Container-Zertifizierungsprozess.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Open-Source-Komponenten in kommerzieller Software alarmierend unsicher

Synopsys hat für seinen "2021 Open Source Security and Risiko Analysis Report" über 1.500 kommerzielle Anwendungen untersucht. Laut Untersuchungen nutzen davon überwältigend viele Open-Source-Komponenten, die ihrerseits in breiter Mehrheit Sicherheitsrisiken aufweisen.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023