所有軟件,無論是涉及到許可經(jīng)營、原產(chǎn)廠商還是供應(yīng)鏈環(huán)節(jié),都存在bug的風(fēng)險(xiǎn)。那些可能會(huì)招致黑客蓄意攻擊的bug被歸類為安全漏洞。雖然只有少量的運(yùn)行錯(cuò)誤被歸于安全漏洞,但這些錯(cuò)誤導(dǎo)致的后果可能極其嚴(yán)重。
紅帽的產(chǎn)品安全團(tuán)隊(duì)為100多個(gè)不同產(chǎn)品和版本提供支持服務(wù),其中包括紅帽的旗艦產(chǎn)品紅帽企業(yè)Linux、紅帽JBoss中間軟件,以及新產(chǎn)品如紅帽企業(yè)Linux OpenStack平臺、OpenShift和紅帽企業(yè)Linux原子主機(jī)。
紅帽的產(chǎn)品由不同的開源組件構(gòu)成。例如,紅帽企業(yè)Linux 7包含幾千個(gè)不同的程序包,而且每個(gè)程序包都可能是一個(gè)單獨(dú)的開源項(xiàng)目。紅帽產(chǎn)品安全團(tuán)隊(duì)的責(zé)任在于了解紅帽每一個(gè)產(chǎn)品的每一個(gè)組件,他們負(fù)責(zé)尋找和追蹤可能威脅代碼完整性的問題。由于代碼來自多個(gè)開源項(xiàng)目和不同的貢獻(xiàn)者,這一任務(wù)絕非易事。2014年,在紅帽提供支持服務(wù)的企業(yè)Linux版本中,97%的關(guān)鍵漏洞在被公眾知曉后當(dāng)天或第二天就得到修復(fù)。
此外,紅帽一直致力于識別并修復(fù)關(guān)鍵漏洞,對紅帽的客戶來說,紅帽所提供的不僅僅是作出快速響應(yīng)。對于每一個(gè)紅帽產(chǎn)品,紅帽都有一套為產(chǎn)品組件和技術(shù)中的安全問題提供更新的機(jī)制。此外,紅帽還為產(chǎn)品提供超長生命周期的支持服務(wù)(例如,紅帽企業(yè)Linux 5、6和7的支持年限為10年),并且通常為開源組件維持安全更新至產(chǎn)品主流支持期以后。
2014年出現(xiàn)了多個(gè)知名漏洞,如Heartbleed、ShellShock和Poodle。在提供快速更新服務(wù)以修復(fù)影響紅帽產(chǎn)品的漏洞的同時(shí),紅帽不僅僅向客戶提供修復(fù)方案。2014年9月,當(dāng)Bash,一個(gè)類UNIX的shell程序發(fā)現(xiàn)嚴(yán)重問題后(即ShellShock),紅帽主動(dòng)通知了紅帽客戶,并提供及時(shí)的安全建議??蛻舨粌H能隨時(shí)獲得紅帽的技術(shù)支持,還能在第一時(shí)間收到安全提醒和技術(shù)知識普及,并通過紅帽實(shí)驗(yàn)室的自我檢測工具等加強(qiáng)防護(hù)。
盡管安全性只是紅帽訂閱的其中一個(gè)特點(diǎn),但這卻是一個(gè)重要的方面。簡單來說,紅帽的訂閱服務(wù)提供的不僅僅是服務(wù)支持,而是為客戶提供了一個(gè)接入紅帽強(qiáng)大生態(tài)系統(tǒng)的入口:從紅帽領(lǐng)先的技術(shù)和全面的知識庫、自動(dòng)化支持服務(wù)、超長產(chǎn)品生命周期,到強(qiáng)大的認(rèn)證生態(tài)系統(tǒng),以及同行和紅帽專家的協(xié)作支持。紅帽訂閱服務(wù)為客戶的關(guān)鍵任務(wù)環(huán)境提供相應(yīng)的指導(dǎo)和穩(wěn)定性支持。尤其重要的是,它還提供了極佳的安全保障。