IBM 容器化软件安全性摘要

IBM 为什么要提供这些摘要？

利用安全性摘要，IBM 客户可以轻松了解产品在部署之前的软件状态。 通过摘要，IBM 能够更好地使其产品的安全状态显而易见、广为人知并易于理解。

谁是期望的受众？

此摘要适用于 Red Hat OpenShift Container Platform 系统和应用程序管理员以及在 Red Hat OpenShift Container Platform上部署，计划部署，评估或保护容器工作负载的安全专业人员。 这些度量可用于将相应的控件和配置应用于 Red Hat OpenShift Container Platform 集群和拓扑，以保护工作负载并提供安全访问。

IBM 如何确定合规性？

所有 IBM 容器化软件都会在发布之前经历称为 IBM 认证的过程。 IBM Developer 博文对这一过程进行了概述。 IBM 通过此认证过程评估超过 100 项度量，以测量并确保针对一组严格标准和最佳实践的合规性。 IBM 认证的其中一个属性是 IBM Security and Privacy by Design (SPbD) 计划。 有关 SPbD, 的更多信息，请参阅 IBM 安全和隐私设计。

此摘要从认证过程中提取几个关键安全性度量并将其外部化。 通过该过程，将在持续集成和交付管道中自动执行某些度量值，而其他度量值将通过文档进行验证。 名称中带有“automated”的属性由 IBM 内部 linter 工具进行验证。

哪些 Cloud Pak for Data 组件提供摘要?

以下 Cloud Pak for Data 组件提供了 "安全性摘要"。

集群范围的组件

• Certificate manager
• License Service
• Scheduling service

必需的实例级别组件

• IBM Cloud Pak for Data
• IBM Cloud Pak foundational services

服务

• Analytics Engine powered by Apache Spark
• Cognos® Dashboards
• Data Privacy
• DataStage®
• Db2® Big SQL
• Db2 Data Gate
• Db2 Data Management Console
• Decision Optimization
• Execution Engine for Apache Hadoop
• IBM® Match 360 with Watson
• Informix®
• OpenPages®
• Planning Analytics
• Product Master
• SPSS® Modeler
• Watson Assistant
• Watson Discovery
• Watson Knowledge Catalog
• Watson Knowledge Studio
• Watson Machine Learning
• Watson Machine Learning Accelerator
• Watson OpenScale
• Watson Pipelines
• Watson Query
• Watson Speech services
• Watson Studio
• Watson Studio Runtimes

依赖关系

• Common core services
• Db2 as a service
• Db2U
• FoundationDB

摘要位于何处？

该摘要作为 Container Application Software for Enterprises (CASE) 软件包的一部分。 CASE 软件包是一个定义明确的文件结构，用于提供有关软件的打包和元数据，包括其认证状态和出处。

要查看安全性摘要，请完成以下步骤：

1. 浏览 IBM Cloud Pak GitHub CASE 存储库。
2. 浏览至 CASE 软件包的相应产品和版本。

   CASE 程序包版本在 运算符和操作数版本中列出。

3. 下载 tgz 文件。
4. 解压缩 tgz 文件。 例如：

   tar -xzvf <path-to-the-downloaded-tgz-file>

5. 摘要名为 ExternalSecurityReport.pdf ，位于 certifications/files 目录中。