Red Hat предложила игнорировать половину предупреждений об уязвимостях. Но делать это с умом
NewsMakerНовый подход обещает освободить команды от лишней работы, не превращая безопасность в формальность.
Red Hat предложила снизить усталость ИБ-команд от бесконечного потока CVE за счёт более «узких» контейнерных образов и связки с Anchore — платформой для проверки безопасности цепочек поставок ПО. Anchore анализирует контейнерные образы, формирует SBOM, ищет уязвимости и помогает понять, какие проблемы действительно затрагивают конкретную сборку.
Идея Red Hat проста: чем меньше лишних компонентов попадает в основу приложения, тем меньше поводов для тревожных уведомлений, долгих разборов и срочных исправлений, которые не меняют реальный риск.
Компания описала подход, при котором команды уходят от принципа «исправлять всё подряд» к оценке уязвимостей по значимости. По данным Red Hat, сканеры часто находят проблемы в пакетах, которые не запускаются, находятся в недоступных путях или относятся к компонентам, за поддержку которых отвечает другая сторона. В итоге очереди задач растут, а внимание специалистов уходит на шум вместо действительно опасных проблем.
Red Hat Hardened Images строятся как минимальные образы контейнеров для производственной среды, а не как универсальная сборка на все случаи жизни. В них оставляют только нужные пакеты и бинарные файлы, чтобы уменьшить поверхность атаки и число зависимостей. Такой подход также упрощает работу с SBOM, поскольку ведомость состава ПО показывает, какие компоненты команда реально готова защищать и отслеживать.
Если появляется новая CVE , Anchore проверяет, затрагивает ли проблема конкретные образы. Когда уязвимость связана с базовым образом Red Hat Hardened Image, система может отправить уведомление для загрузки свежей версии из репозитория Red Hat.
Если же риск появился из-за компонента, добавленного разработчиком, сигнал уходит в его инструменты разработки. Такой механизм помогает направлять задачи тем, кто действительно может решить проблему.
Anchore также может применять политики и не допускать использование сторонних или внешних образов вместо Red Hat Hardened Images. Перед продвижением в реестр или развёртыванием образы проверяются на соответствие требованиям NIST 800-53, NIST 800-190 и FedRAMP. SBOM при этом сохраняется для аудитов и отчётности, включая сценарии, связанные с новыми регуляторными требованиями, такими как CRA.
В Red Hat считают, что одно сканирование не решает проблему перегруженных базовых образов. Компания делает ставку на сокращение лишних находок ещё до их появления, а Anchore берёт на себя вторую часть задачи: постоянную проверку, контроль политик и подтверждение соответствия требованиям.
Red Hat предложила снизить усталость ИБ-команд от бесконечного потока CVE за счёт более «узких» контейнерных образов и связки с Anchore — платформой для проверки безопасности цепочек поставок ПО. Anchore анализирует контейнерные образы, формирует SBOM, ищет уязвимости и помогает понять, какие проблемы действительно затрагивают конкретную сборку.
Идея Red Hat проста: чем меньше лишних компонентов попадает в основу приложения, тем меньше поводов для тревожных уведомлений, долгих разборов и срочных исправлений, которые не меняют реальный риск.
Компания описала подход, при котором команды уходят от принципа «исправлять всё подряд» к оценке уязвимостей по значимости. По данным Red Hat, сканеры часто находят проблемы в пакетах, которые не запускаются, находятся в недоступных путях или относятся к компонентам, за поддержку которых отвечает другая сторона. В итоге очереди задач растут, а внимание специалистов уходит на шум вместо действительно опасных проблем.
Red Hat Hardened Images строятся как минимальные образы контейнеров для производственной среды, а не как универсальная сборка на все случаи жизни. В них оставляют только нужные пакеты и бинарные файлы, чтобы уменьшить поверхность атаки и число зависимостей. Такой подход также упрощает работу с SBOM, поскольку ведомость состава ПО показывает, какие компоненты команда реально готова защищать и отслеживать.
Если появляется новая CVE , Anchore проверяет, затрагивает ли проблема конкретные образы. Когда уязвимость связана с базовым образом Red Hat Hardened Image, система может отправить уведомление для загрузки свежей версии из репозитория Red Hat.
Если же риск появился из-за компонента, добавленного разработчиком, сигнал уходит в его инструменты разработки. Такой механизм помогает направлять задачи тем, кто действительно может решить проблему.
Anchore также может применять политики и не допускать использование сторонних или внешних образов вместо Red Hat Hardened Images. Перед продвижением в реестр или развёртыванием образы проверяются на соответствие требованиям NIST 800-53, NIST 800-190 и FedRAMP. SBOM при этом сохраняется для аудитов и отчётности, включая сценарии, связанные с новыми регуляторными требованиями, такими как CRA.
В Red Hat считают, что одно сканирование не решает проблему перегруженных базовых образов. Компания делает ставку на сокращение лишних находок ещё до их появления, а Anchore берёт на себя вторую часть задачи: постоянную проверку, контроль политик и подтверждение соответствия требованиям.