Sull’importanza della sicurezza nella propria supply chain non si è mai scritto abbastanza. Gli attacchi che sovente descriviamo qui sul portale, in una maniera o nell’altra, fanno sempre capo ad insicurezze nei software utilizzati che, il più delle volte, dipendono da dove questi software vengono presi.

Ora, alla base del funzionamento dell’open-source commerciale – che sembra un ossimoro, ma quando si parla di subscription è esattamente di questo che si parla – c’è il fatto che la fiducia si compra. Pago un servizio che mi garantisce la qualità del software open-source che sto usando.

È possibile quindi tracciare, per così dire, la filiera del software ed avere una ragionevole certezza del fatto che questo sia affidabile. I fatti però dimostrano che questo non sempre è sufficiente.

In questo senso si muove il progetto Hummingbird di Red Hat che partirà proprio questo dicembre (è possibile iscriversi ad una waitlist per parteciparvi): un catalogo di immagini di container minimali e hardenizzate che dovrebbero facilitare la gestione della sicurezza e della compliance per gli sviluppatori delle aziende che operano nei contesti cloud-native.

Hummingbird (che significa colibrì) sarà quindi una selezione di immagini che, al momento del rilascio, non avranno nessuna delle CVE conosciute e che verranno lavorate per essere il più esenti possibili da potenziali problemi.

Gunnar Hellekson, VP e GM di Red Hat Enterprise Linux, si pronuncia in questi termini:

Project Hummingbird is designed to remove that trade-off by providing a minimal, trusted, and transparent zero-CVE foundation for building cloud-native applications

Il progetto Hummingbird è stato ideato per eliminare il compromesso tra la fornitura di una fondazione minimale, che sia credibile ed esente da CVE per la costruzione di applicazioni cloud-native

Obiettivo di Hummingbird è quindi quello di offrire immagini sulle tecnologie ed i linguaggi più utilizzati, che al contempo vivano su questi presupposti:

• Stato “Zero-CVE”, il che significa che le immagini di Project Hummingbird vengono distribuite prive di vulnerabilità note, con i test di funzionalità già completati, confermando che le immagini sono effettivamente utili e stabili.
• Catalogo curato e pronto per la produzione dei container minimi e hardenizzati più richiesti dai clienti Red Hat, fornendo agli sviluppatori solo ciò di cui hanno veramente bisogno per creare applicazioni differenziate, riducendo al contempo la superficie di attacco.
• Bill of Materials (SBOM) completo, che consente agli utenti di verificare il contenuto di un’immagine per soddisfare i requisiti di conformità moderni.
• Supporto completo in produzione disponibile per i clienti con sottoscrizione quando Project Hummingbird sarà rilasciato in disponibilità generale. Questo offre l’intera gamma di vantaggi di una sottoscrizione Red Hat, fornendo accesso alla supply chain software hardenizzata e documentata di Red Hat e a una profonda esperienza enterprise.

Certo verrebbe da domandarsi: ma non è così che dovrebbe già essere?

In realtà no, e proprio quel compromesso che viene citato poco sopra rappresenta l’esposizione che molti dei servizi esposti oggi soffrono e che Hummingbird vuole risolvere.

Il progetto, come detto, è ancora early access ed è quindi possibile iscriversi per essere fra i primi a fornire feedback a proposito dell’effettiva efficacia di questa proposta.

Un ottimo tentativo per muoversi in direzione del tanto agognato shift-left.