5 min Devops

Red Hat wil software-ontwikkeling veiliger en overzichtelijker maken

Red Hat wil software-ontwikkeling veiliger en overzichtelijker maken

Red Hat organiseert deze week zijn jaarlijkse summit in Boston en daar heeft het tal van nieuwe oplossingen aangekondigd. Twee daarvan stellen softwareontwikkeling centraal, waarbij de Red Hat Developer Hub (Backstage) vooral meer overzicht moet bieden en de Red Hat Trusted Software Supply Chain moet softwareontwikkeling vooral veiliger en betrouwbaarder maken.

Wat ons betreft is de Red Hat Developer Hub het meest aansprekende product en voor degene die onze Techzine Talks podcast volgen, een oplossing die in de lijn der verwachting lag. Als we het heel kort samenvatten is de Red Hat Developer Hub eigenlijk de commerciële ondersteunende versie van Spotify Backstage. Momenteel zijn organisaties die gebruikmaken van Backstage nog aangewezen op de community forums als ze tegen problemen aanlopen, met de Developer Hub kunnen ze tegen een vergoeding ook ondersteuning verwachten.

Luister ook: Kubernetes is niet meer spannend (en dat is een goede zaak)

Red Hat Developer Hub = Spotify Backstage

Het was enkele maanden geleden al duidelijk dat Red Hat zich actief met Backstage bezighield, waardoor de kans ook steeds groter werd dat Red Hat er een commerciële product omheen zou bouwen, waarbij je dus ondersteuning kan krijgen op de oplossing. Daarnaast zet Red Hat een gedeelte van zijn ontwikkelcapaciteit in om Backstage naar een hoger niveau te tillen. In de core van Backstage worden door Red Hat flink wat verbeteringen doorgevoerd die het product volwassener en beter moeten maken. Al die code wordt uiteraard gedoneerd aan de open source community, dus ook als je niet wilt betalen voor Backstage, krijg je wel een beter product, mede dankzij Red Hat.

Voor degene die niet bekend zijn met Backstage, het is een development portal waarin alle ontwikkelaars binnen een organisatie hun projecten kunnen beheren en monitoren. De verschillende infrastructuur platformen die de organisatie gebruikt, kunnen via dit platform uniform worden aangeboden aan ontwikkelaars. Ze kunnen vanuit dit platform dus alle infrastructuur services die ze nodig hebben aanmaken, beheren, monitoren en in gebruik nemen, ongeacht waar deze draaien. Daarnaast kunnen ontwikkelaars hun projecten hier documenteren, zodat collega’s weer makkelijker gebruik kunnen maken van de gebouwde oplossing of API’s. Het zorgt voor meer overzicht in de vele ontwikkelprojecten en infrastructuur die een organisatie in gebruik heeft. Daarnaast voorziet het in een stukje governance en compliance waar veel organisaties naar op zoek zijn.

Verbeteringen

Een van de grootste verbeteringen die eraan zit te komen is het on-the-fly toevoegen en verwijderen van plugins. Momenteel moet je hiervoor de hele omgeving opnieuw compilen om eventuele dependencies af te vangen, dat hoeft straks niet meer. Dat is één van de grote struikelblokken van Backstage die Red Hat gaat oplossen.

Daarnaast werkt Red Hat aan het beschikbaar stellen van allemaal best practices hoe je backstage het beste kan inrichten voor bepaalde type projecten. Hiermee hoopt het organisaties sneller op weg te helpen.

Backstage is door Spotify ontwikkeld, daarna open source gemaakt en gedoneerd aan de CNCF. De CNCF heeft dit project nu onder zijn beheer om het verder uit te laten groeien. Net zoals het Kubernetes in beheer heeft en vele andere projecten. Voor Red Hat is het feit dat het CNCF het overzicht van het project bewaakt waarschijnlijk ook een van de redenen om Backstage te gaan steunen.

De officiële beschikbaarheid van Red Hat Developer Hub is nog onduidelijk. Het is nu aangekondigd, verwacht wordt dat het later dit jaar beschikbaar komt.

Red Hat Trusted Software Supply Chain

Met Red Hat Trusted Software Suply Chain wil Red Hat proberen om al een stukje security toe te voegen tijdens het ontwikkelproces. Uit onderzoek blijkt dat 75 procent van de applicatiecode vandaag de dag uit open source code bestaat. Deze componenten staan echter onder druk, want cyberaanvallen op de software supply chain nemen alleen maar toe. Daarom willen organisaties graag tijdens het ontwikkelproces al iets van security toevoegen. Aan de ene kant is dat het actief scannen van code die wordt geprogrammeerd maar aan de andere kant het verifiëren van packages en libraries die worden toegevoegd aan een development project. Het actief controleren in de CI/CD pipeline kan met Red Hat Trusted Application Pipeline.

Daarnaast beschikt Red Hat over een database van duizenden betrouwbare packages voor enkel Red Hat Enterprise Linux, daarnaast beschikt het ook over een catalogus van software en libraries voor kritieke applicatie-runtimes voor Java, Node en Python systemen. Dit is de zogenaamde Red Hat Trusted Content, deze dienst kan al deze software en packages leveren met de garantie dat die veilig zijn. Dat is wat men enterprise-hardened trusted content noemt. Die zijn allemaal gecontroleerd en geverifieerd dat er geen backdoors of andere beveiligingslekken inzitten. Een dergelijk product werd in het verleden al samen met de Amerikaanse overheid ontwikkeld om de overheid te voorzien van veilige packages, nu is dat voor iedereen beschikbaar.

De oplossingen onder de Red Hat Trusted Software Supply Chain moeten snel beschikbaar komen.