التعليق
الأخبار الأخيرة التي تفيد بأن المتسللين قد اخترقوا شركة حلول الوصول عن بعد AnyDesk سلط الضوء بشدة على حاجة الشركات إلى إلقاء نظرة طويلة ودقيقة على ممارسات توقيع التعليمات البرمجية للمساعدة في ضمان سلسلة توريد برمجيات أكثر أمانًا.
يضيف توقيع الرمز توقيعًا رقميًا إلى البرامج أو البرامج الثابتة أو التطبيقات التي تضمن أن رمز المستخدم يأتي من مصدر موثوق وأنه لم يتم العبث به منذ آخر توقيع. لكن توقيع التعليمات البرمجية يكون جيدًا بقدر تنفيذه، ويمكن أن تؤدي الممارسات غير الكافية إلى حقن البرامج الضارة، والتلاعب بالرموز والبرامج، وهجمات انتحال الشخصية.
يجب حماية المفاتيح الخاصة، لكن العديد من المطورين (لأسباب تتعلق بالملاءمة بشكل أساسي) يحتفظون بمفاتيحهم الخاصة ويخزنونها في أجهزتهم المحلية أو ينشئون خوادم. وهذا يتركها عرضة للسرقة وسوء الاستخدام، ويخلق نقاط عمياء لفرق الأمن.
بعد اختراق SolarWinds في عام 2020، أصدر منتدى المرجع المصدق/المتصفح (CA/B) مجموعة جديدة من متطلبات خط الأساس للحفاظ على شهادات توقيع التعليمات البرمجية التي تفرض استخدام وحدات أمان الأجهزة (HSMs)، والأجهزة التي تحافظ على مفاتيح التشفير وتؤمنها، بالإضافة إلى التدابير الأخرى لحماية المفاتيح الخاصة.
توفر وحدات HSM أعلى مستوى من الأمان، ولكنها تزيد أيضًا من التكلفة والتعقيد ومتطلبات الصيانة. وما لم يكن من الممكن دمجها في أدوات توقيع التعليمات البرمجية التي يستخدمها فريق DevOps، فإن قطع الاتصال يمكن أن يؤدي إلى تعقيد الوصول إلى توقيع التعليمات البرمجية وإبطاء العملية.
لقد جعل الانتقال إلى السحابة الأمان أولوية أعلى، لكن السحابة توفر أيضًا حلاً لتوقيع التعليمات البرمجية. يمكن أن يوفر توقيع التعليمات البرمجية السحابية ووحدات HSM السرعة والمرونة التي يريدها المطورون، بالإضافة إلى التحكم المركزي الذي يدعم فرق التطوير الموزعة، ويتكامل مع عمليات التطوير، ويمكن مراقبته بسهولة أكبر بواسطة الأمان.
الرحلة إلى التوقيع المتكامل للتعليمات البرمجية
مع التغييرات الأخيرة من منتدى CA / Bلقد حان الوقت للمؤسسات للبدء في رحلة لتحديث توقيع التعليمات البرمجية الخاصة بها من خلال التحكم المركزي لدعم فرق التطوير. تظل العديد من الشركات في المرحلة "المخصصة"، حيث يتم الاحتفاظ بالمفاتيح محليًا ويستخدم المطورون مجموعة متنوعة من عمليات وأدوات توقيع التعليمات البرمجية. يتمتع البعض الآخر بتحكم مركزي لمنح فرق الأمان الرؤية والحوكمة باستخدام وحدات HSM لتأمين المفاتيح، ولكن استخدام أدوات توقيع التعليمات البرمجية المنفصلة لا يزال يؤثر على سرعة تطوير البرامج.
يتطلب الهيكل المثالي الناضج تكامل الأمان الرئيسي وأدوات توقيع التعليمات البرمجية وسير عمل التطوير لجعل العملية سلسة ومبسطة عبر جميع البنيات والحاويات والعناصر والملفات التنفيذية. تقوم فرق الأمان بإدارة وحدات HSM وتكتسب رؤية كاملة لتوقيع التعليمات البرمجية، بينما يتمتع المطورون الآن بخطة تطوير سريعة وسريعة.
يمكن لبعض أفضل الممارسات أن تساعد في تمهيد الطريق في هذه الرحلة:
-
قم بتأمين مفاتيحك: قم بتخزين مفاتيح توقيع التعليمات البرمجية في مكان آمن، مثل HSM الذي يتوافق مع متطلبات التشفير لمنتدى CA/B (FIPS 140-2 Level 2 أو Common Criteria EAL 4+). تتميز وحدات HSM بأنها مقاومة للتلاعب، وتمنع تصدير المفاتيح الخاصة.
-
التحكم في الوصول: قلل من مخاطر الوصول غير المصرح به وإساءة استخدام المفاتيح الخاصة عن طريق تقييد الوصول من خلال التحكم في الوصول المستند إلى الدور. قم بتحديد مسارات عمل الموافقة وفرض سياسات الأمان لتنظيم الوصول إلى الموظفين الضروريين فقط، والاحتفاظ بسجلات التدقيق التي تسجل من قام بتشغيل طلب التوقيع، ومن وصل إلى المفاتيح، ولماذا.
-
تدوير المفاتيح: إذا تم اختراق مفتاح واحد، فإن جميع الإصدارات الموقعة معه معرضة لخطر الاختراق. قم بتدوير مفاتيح توقيع التعليمات البرمجية بانتظام، واستخدم مفاتيح فريدة ومنفصلة لتوقيع الإصدارات المختلفة عبر فرق DevOps المتعددة.
-
رمز الطابع الزمني: شهادات توقيع التعليمات البرمجية لها عمر محدود - من سنة إلى ثلاث سنوات وتتقلص. يمكن لرمز الختم الزمني أثناء التوقيع التحقق من شرعية التوقيع حتى بعد انتهاء صلاحية الشهادة أو إبطالها، مما يزيد من ثقة الرمز والبرنامج الموقع.
-
التحقق من سلامة الكود: قم بإجراء مراجعة كاملة للتعليمات البرمجية قبل التوقيع وإصدار الإصدار النهائي من خلال مقارنة التعليمات البرمجية الموجودة في خادم البناء مع مستودع التعليمات البرمجية المصدر، والتحقق من جميع توقيعات المطورين للتأكد من أنها خالية من التلاعب.
-
الإدارة المركزية: الأعمال التجارية اليوم عالمية. يمكن أن تساعد عملية توقيع التعليمات البرمجية المركزية في مراقبة أنشطة التوقيع والشهادات عبر المؤسسة، بغض النظر عن مكان تواجد المطورين. إنه يحسن الرؤية ويبني المساءلة ويزيل الثغرات الأمنية.
-
إنفاذ السياسات: قم بتوحيد عملية توقيع التعليمات البرمجية من خلال تحديد السياسات وتعيينها، بما في ذلك أذونات استخدام المفتاح والموافقات وانتهاء صلاحية المفتاح ونوع CA وحجم المفتاح ونوع خوارزمية التوقيع والمزيد. قم بأتمتة تطبيق السياسة لضمان توقيع جميع التعليمات البرمجية والملفات والبرامج بناءً على السياسة ومتوافقة مع معايير الصناعة.
-
تبسيط توقيع التعليمات البرمجية: يعمل دمج وأتمتة توقيع التعليمات البرمجية باستخدام أدوات CI/CD على تبسيط عملية DevOps دون المساس بالأمان مع تعزيز السرعة وخفة الحركة.
في عالم يتسم بالتكامل المستمر والنشر المستمر، توفر أفضل الممارسات القوية لتوقيع التعليمات البرمجية طريقة لا تقدر بثمن لبناء الثقة في عملية التطوير وتمكين سلسلة توريد برمجيات أكثر أمانًا.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
- :لديها
- :يكون
- :أين
- 10
- 11
- 12
- 13
- 19
- 2020
- 7
- 8
- 9
- a
- الوصول
- الوصول
- المساءلة
- في
- أنشطة
- Ad
- يضيف
- بعد
- رشيق
- خوارزمية
- الكل
- أيضا
- an
- و
- التطبيقات
- موافقة
- الموافقات
- هي
- AS
- مؤمن عليه
- At
- الهجمات
- التدقيق
- أتمتة
- أتمتة
- على أساس
- BE
- كان
- قبل
- يجري
- أفضل
- أفضل الممارسات
- نساعدك في بناء
- بناء الثقة
- يبني
- لكن
- by
- CA
- CAN
- مركزية
- شهادة
- الشهادات
- سلسلة
- التغييرات
- دائرة
- سحابة
- الكود
- مراجعة التعليمات البرمجية
- آت
- مشترك
- الشركات
- حول الشركة
- مقارنة
- تعقيد
- متوافقة
- حل وسط
- تسوية
- مساومة
- حاويات
- متواصل
- مراقبة
- ملاءمة
- التكلفة
- يخلق
- المعايير
- التشفير
- حدد
- تحديد
- مطالب
- نشر
- المطور
- المطورين
- التطوير التجاري
- فرق التطوير
- الأجهزة
- مختلف
- رقمي
- وزعت
- إلى أسفل
- بسهولة
- يقضي على
- الشروع
- تمكين
- فرض
- تطبيق
- تعزيز
- ضمان
- مشروع
- حتى
- انقضاء
- إطالة
- قليل
- ملفات
- نهائي
- في حالة
- المنتدى
- تبدأ من
- بالإضافة إلى
- ربح
- منح
- العالمية
- خير
- الحكم
- قراصنة
- كان
- الثابت
- أجهزة التبخير
- أمن الأجهزة
- يملك
- مساعدة
- أعلى
- أعلى
- HTTPS
- اي كون
- المثالي
- الآثار
- يحسن
- in
- بما فيه
- القيمة الاسمية
- العالمية
- معايير الصناعة
- الحقن
- المتكاملة
- يدمج
- التكامل
- سلامة
- إلى
- نفيس
- IT
- انها
- رحلة
- JPG
- القفل
- مفاتيح
- اسم العائلة
- قيادة
- شرعية
- مستوى
- ضوء
- محدود
- الحد من
- محلي
- محليا
- تقع
- موقع
- طويل
- بحث
- الآلات
- صنع
- في الأساس
- المحافظة
- حافظ
- الحفاظ على
- صيانة
- جعل
- البرمجيات الخبيثة
- إدارة
- إدارة
- ولايات
- كثير
- رسم الخرائط
- ناضج
- الإجراءات
- سوء استخدام
- تحديث
- الوحدات
- مراقبة
- مراقبة
- الأكثر من ذلك
- متعدد
- ضروري
- حاجة
- جديد
- أخبار
- الآن
- of
- عروض
- on
- ONE
- فقط
- جاكيت
- or
- المنظمات
- أخرى
- أخرى
- الخاصة
- تدمير
- أذونات
- خط أنابيب
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسات الخصوصية والبيع
- سياسة
- الممارسات
- منع
- الأولوية
- خاص
- مفاتيح خاصة
- عملية المعالجة
- العمليات
- تعزيز
- حماية
- محمي
- تزود
- الأسباب
- الأخيرة
- سجل
- بغض النظر
- بانتظام
- ضبط
- صدر
- النشرات
- إطلاق
- لا تزال
- عن بعد
- الوصول عن بعد
- مستودع
- طلب
- المتطلبات الأساسية
- يتطلب
- مراجعة
- المخاطرة
- سلس
- تأمين
- أمن
- السياسات الأمنية
- مستقل
- الخادم
- خوادم
- طقم
- توقيع
- التوقيعات
- وقعت
- التوقيع
- يبسط
- منذ
- المقاس
- بطيء
- تطبيقات الكمبيوتر
- تطوير البرمجيات
- سلسلة توريد البرمجيات
- حل
- مصدر
- شفرة المصدر
- سرعة
- البقع
- فريق العمل
- المسرح
- المعايير
- لا يزال
- متجر
- استراتيجيات
- تبسيط
- قوي
- بناء
- هذه
- تزويد
- سلسلة التوريد
- الدعم
- الدعم
- بالتأكيد
- أخذ
- فريق
- فريق
- أن
- •
- المصدر
- سرقة
- من مشاركة
- منهم
- هم
- ثلاثة
- عبر
- الوقت
- إلى
- اليوم
- أدوات
- أثار
- الثقة
- افضل
- نوع
- غير مصرح
- فريد من نوعه
- ما لم
- الأستعمال
- تستخدم
- مستعمل
- مستخدم
- استخدام
- تشكيلة
- تحقق من
- رؤية
- نقاط الضعف
- تريد
- وكان
- طريق..
- حسن
- في حين
- من الذى
- لماذا
- مع
- بدون
- سير العمل
- العالم
- سنوات
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت