Red Hat, der weltweit führende Anbieter von Open-Source-Lösungen, und Black Duck Software, ein weltweit führender Anbieter von Produkten und Services zur sicheren Verwaltung von Open-Source-Software, arbeiten ab sofort zusammen. Ziel dabei ist die Etablierung eines sicheren und vertrauenswürdigen Modells zur Bereitstellung von Container-Applikationen, bei dem gewährleistet ist, dass es in den Containern keine Sicherheitslücken gibt und sie nur zertifizierten Programmcode enthalten. Diese Validierung ist ein wichtiger Schritt bei der Bereitstellung von Applikations-Containern für Unternehmen. Dabei kommen die jeweiligen Stärken beider Unternehmen zum Tragen: die führende Rolle von Red Hat bei Container-Technologien und -Lösungen, einschließlich der Plattform- und Zertifizierungsstrategie, sowie die herausragende Position von Black Duck als Anbieter umfassender Identifikations- und Notifizierungsverfahren bezüglich Open-Source-Sicherheitslücken.
Da Container eine konsistente Betriebssystemumgebung für Entwicklung, Test und Betrieb bereitstellen, haben sie sich rasch zu einer Mainstream-Technologie entwickelt. Die Container-Sicherheit jedoch – einschließlich Herkunft, Zertifizierung, klaren Einsatzregeln und Vertrauen – erwies sich als Herausforderung bei der Verbreitung in den Unternehmen. Einer aktuellen, von Red Hat beim Marktforscher TechValidate beauftragten Umfrage unter IT-Mitarbeitern zufolge äußerten mehr als 60 Prozent der Befragten Bedenken hinsichtlich Container-Sicherheit, -Zertifizierung und Herkunft der Images.
Vorbehalte dieser Art finden sich auch in einer im Mai 2015 veröffentlichten Studie von BanyanOps, der zufolge mehr als 30 Prozent der offiziellen Images im Docker Hub Sicherheitslücken von hoher Priorität enthalten. Damit wird die Deep Container Inspection auf Unternehmensebene, kombiniert mit Zertifizierung, klaren Einsatzregeln und Vertrauen, zu einem integralen Bestandteil für die Entwicklung, Implementierung und Verwaltung von Containern – genau dies soll als Ergebnis der Kooperation von Red Hat und Black Duck sichergestellt werden.
In der ersten Phase ihrer Zusammenarbeit wollen beide Unternehmen den Black Duck Hub – die Software von Black Duck, die den Programmcode von Containern hinsichtlich Sicherheitslücken untersucht – mit der PaaS-Lösung OpenShift von Red Hat integrieren und damit Berichte und Daten zu möglichen Sicherheitslücken in Container Images in der OpenShift Registry bereitstellen. OpenShift Registry ist ein von Red Hat unterstütztes Repository mit validierten, sicheren und vertrauenswürdigen Container Images. Die KnowledgeBase von Black Duck stellt den Backbone für den Hub bereit, enthält Informationen über 1,1 Millionen Open-Source-Projekte und Details zu mehr als 100.000 bekannten Sicherheitslücken in mehr als 350 Milliarden Zeilen Programmcode.
Lou Shipley, CEO, Black Duck
„Die Container-Technologie ist ein wichtiger Durchbruch im stetigen Streben nach einer agilen Entwicklung und der schnelleren Marktreife von Produkten. Geschwindigkeit und Flexibilität fördern die Verbreitung von Containern in den Unternehmen, wobei die Sicherheit darunter nicht leiden darf. Die Zusammenarbeit von Black Duck und Red Hat wurzelt in dem gemeinsam Mehrwert, den wir aus der Open-Source-Perspektive schaffen, indem wir einen sicheren Einsatz von Containern in Unternehmen gewährleisten.“
Der Black Duck Hub identifiziert und inventarisiert den Open-Source-Code einer Applikation und zeichnet alle bekannten Open-Source-Sicherheitslücken auf. Ferner überwacht er den Bestand in der KnowledgeBase und meldet sofort neue Sicherheitslücken.
OpenShift ist die erste webbasierte, für den Unternehmenseinsatz geeignete Container-Applikationsplattform, die Linux-Container im Docker-Format, Kubernetes-Orchestrierung und Red Hat Enterprise Linux nutzt. Nutzen Unternehmen OpenShift zusammen mit dem Black Duck Hub, können Entwickler Container-Applikationen erstellen und einsetzen sowie dabei darauf vertrauen, dass der Programmcode dieser Applikationen validiert und zertifiziert ist.
Darüber hinaus planen beide Unternehmen, Technologien von Black Duck als komplementäre Services in Red Hats Container-Zertifizierungsprozess für Applikationsentwickler einzubinden, beispielsweise für Independent Software Vendors (ISVs). Im Frühjahr dieses Jahres hat Red Hat seine Ecosystem-Strategie für den Einsatz von Linux-Containern im Unternehmen vorgestellt, die sich an der erfolgreichen Strategie zur Verbreitung von Linux in den Unternehmen orientiert. Die Scanning- und Vulnerability-Mapping-Technologie von Black Duck sowie die Integration von Reportingfunktionen und der KnowledgeBase erweitern den bereits sehr umfangreichen Container-Zertifizierungsprozess.
