কোড সাইনিং নিরাপত্তা বাড়ানোর জন্য 8 কৌশল

ধারাভাষ্য

সাম্প্রতিক খবর যে হ্যাকাররা দূরবর্তী অ্যাক্সেস সমাধান কোম্পানি লঙ্ঘন করেছে AnyDesk আরও সুরক্ষিত সফ্টওয়্যার সরবরাহ শৃঙ্খল নিশ্চিত করতে সহায়তা করার জন্য কোড-সাইনিং অনুশীলনগুলিকে দীর্ঘ, কঠোরভাবে দেখার জন্য কোম্পানিগুলির প্রয়োজনীয়তার উপর একটি কঠোর আলোকপাত করেছে৷  

কোড সাইনিং সফ্টওয়্যার, ফার্মওয়্যার বা অ্যাপ্লিকেশনগুলিতে একটি ডিজিটাল স্বাক্ষর যুক্ত করে যা নিশ্চিত করে যে ব্যবহারকারী কোডটি একটি বিশ্বস্ত উত্স থেকে আসছে এবং এটি শেষবার স্বাক্ষরিত হওয়ার পর থেকে এটির সাথে কোনও হেরফের করা হয়নি৷ কিন্তু কোড সাইনিং শুধুমাত্র এটি কার্যকর করার মতোই ভাল, এবং অপর্যাপ্ত অনুশীলনগুলি ম্যালওয়্যার ইনজেকশন, কোড এবং সফ্টওয়্যারের সাথে টেম্পারিং এবং ছদ্মবেশী আক্রমণের দিকে পরিচালিত করতে পারে। 

ব্যক্তিগত কীগুলিকে সুরক্ষিত রাখতে হবে, তবে অনেক বিকাশকারী (প্রধানত সুবিধার কারণে) তাদের নিজস্ব রক্ষণাবেক্ষণ করে এবং তাদের স্থানীয় মেশিনে সংরক্ষণ করে বা সার্ভার তৈরি করে। এটি তাদের চুরি এবং অপব্যবহারের জন্য উন্মুক্ত করে দেয় এবং নিরাপত্তা দলের জন্য অন্ধ দাগ তৈরি করে।  

অনুসরণ সোলারওয়াইন্ডস হ্যাক 2020 সালে, সার্টিফিকেট অথরিটি/ব্রাউজার (CA/B) ফোরাম একটি নতুন সেট প্রকাশ করেছে বেসলাইন প্রয়োজনীয়তা কোড সাইনিং সার্টিফিকেট রক্ষণাবেক্ষণের জন্য যা হার্ডওয়্যার সিকিউরিটি মডিউল (HSMs), ডিভাইস যা ক্রিপ্টোগ্রাফিক কীগুলি বজায় রাখে এবং সুরক্ষিত রাখে, সেইসাথে প্রাইভেট কীগুলিকে রক্ষা করার জন্য অন্যান্য ব্যবস্থাগুলিকে বাধ্যতামূলক করে৷ 

এইচএসএম সর্বোচ্চ স্তরের নিরাপত্তা প্রদান করে, কিন্তু তারা খরচ, জটিলতা এবং রক্ষণাবেক্ষণের চাহিদাও বাড়ায়। যদি না সেগুলি DevOps টিম দ্বারা ব্যবহৃত কোড-স্বাক্ষর করার সরঞ্জামগুলিতে একত্রিত করা যায়, সংযোগ বিচ্ছিন্ন করা কোড-সাইনিং অ্যাক্সেসকে জটিল করে তুলতে পারে এবং প্রক্রিয়াটিকে ধীর করে দিতে পারে।  

ক্লাউডে মাইগ্রেশন নিরাপত্তাকে উচ্চ অগ্রাধিকার দিয়েছে, কিন্তু ক্লাউড কোড সাইনিং এর সমাধানও দেয়। ক্লাউড কোড সাইনিং এবং এইচএসএম বিকাশকারীরা যে গতি এবং তত্পরতা চান তা প্রদান করতে পারে, সেইসাথে কেন্দ্রীভূত নিয়ন্ত্রণ যা বিতরণ করা উন্নয়ন দলকে সমর্থন করে, উন্নয়ন প্রক্রিয়াগুলিতে একীভূত করে এবং নিরাপত্তা দ্বারা আরও সহজে নিরীক্ষণ করা যায়। 

দ্য জার্নি টু ইন্টিগ্রেটেড কোড সাইনিং 

থেকে সাম্প্রতিক পরিবর্তন সঙ্গে CA/B ফোরাম, উন্নয়ন দলগুলিকে সমর্থন করতে কেন্দ্রীভূত নিয়ন্ত্রণের সাথে তাদের কোড সাইনিংকে আধুনিকীকরণের জন্য সংস্থাগুলির একটি যাত্রা শুরু করার সময় এসেছে৷ অনেক কোম্পানি "অ্যাডহক" পর্যায়ে থাকে, যেখানে স্থানীয়ভাবে কীগুলি রক্ষণাবেক্ষণ করা হয় এবং বিকাশকারীরা বিভিন্ন কোড সাইনিং প্রক্রিয়া এবং সরঞ্জাম ব্যবহার করে। অন্যদের কি সুরক্ষিত করার জন্য এইচএসএম ব্যবহার করে সুরক্ষা দলকে দৃশ্যমানতা এবং পরিচালনা দেওয়ার জন্য কেন্দ্রীয় নিয়ন্ত্রণ রয়েছে, তবে পৃথক কোড সাইনিং সরঞ্জাম ব্যবহার করে এখনও সফ্টওয়্যার বিকাশের গতিকে প্রভাবিত করে। 

আদর্শ, পরিপক্ক কাঠামোর জন্য সমস্ত বিল্ড, কন্টেইনার, আর্টিফ্যাক্ট এবং এক্সিকিউটেবলগুলি জুড়ে প্রক্রিয়াটিকে নির্বিঘ্ন এবং সুবিন্যস্ত করার জন্য মূল নিরাপত্তা, কোড-সাইনিং সরঞ্জাম এবং উন্নয়ন কর্মপ্রবাহের একীকরণ প্রয়োজন। নিরাপত্তা দলগুলি এইচএসএমগুলি পরিচালনা করে এবং কোড সাইনিংয়ে সম্পূর্ণ দৃশ্যমানতা অর্জন করে, যখন বিকাশকারীদের এখন একটি চটপটে এবং দ্রুত বিকাশ পাইপলাইন রয়েছে৷ 

কিছু সেরা অনুশীলন এই যাত্রায় পথ প্রশস্ত করতে সাহায্য করতে পারে: 

ক্রমাগত ইন্টিগ্রেশন এবং ক্রমাগত স্থাপনার বিশ্বে, শক্তিশালী কোড-সাইনিং সর্বোত্তম অনুশীলনগুলি উন্নয়ন প্রক্রিয়ার উপর আস্থা তৈরি করার এবং আরও নিরাপদ সফ্টওয়্যার সরবরাহ চেইন সক্ষম করার একটি অমূল্য উপায় প্রদান করে।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security