ধারাভাষ্য
সাম্প্রতিক খবর যে হ্যাকাররা দূরবর্তী অ্যাক্সেস সমাধান কোম্পানি লঙ্ঘন করেছে AnyDesk আরও সুরক্ষিত সফ্টওয়্যার সরবরাহ শৃঙ্খল নিশ্চিত করতে সহায়তা করার জন্য কোড-সাইনিং অনুশীলনগুলিকে দীর্ঘ, কঠোরভাবে দেখার জন্য কোম্পানিগুলির প্রয়োজনীয়তার উপর একটি কঠোর আলোকপাত করেছে৷
কোড সাইনিং সফ্টওয়্যার, ফার্মওয়্যার বা অ্যাপ্লিকেশনগুলিতে একটি ডিজিটাল স্বাক্ষর যুক্ত করে যা নিশ্চিত করে যে ব্যবহারকারী কোডটি একটি বিশ্বস্ত উত্স থেকে আসছে এবং এটি শেষবার স্বাক্ষরিত হওয়ার পর থেকে এটির সাথে কোনও হেরফের করা হয়নি৷ কিন্তু কোড সাইনিং শুধুমাত্র এটি কার্যকর করার মতোই ভাল, এবং অপর্যাপ্ত অনুশীলনগুলি ম্যালওয়্যার ইনজেকশন, কোড এবং সফ্টওয়্যারের সাথে টেম্পারিং এবং ছদ্মবেশী আক্রমণের দিকে পরিচালিত করতে পারে।
ব্যক্তিগত কীগুলিকে সুরক্ষিত রাখতে হবে, তবে অনেক বিকাশকারী (প্রধানত সুবিধার কারণে) তাদের নিজস্ব রক্ষণাবেক্ষণ করে এবং তাদের স্থানীয় মেশিনে সংরক্ষণ করে বা সার্ভার তৈরি করে। এটি তাদের চুরি এবং অপব্যবহারের জন্য উন্মুক্ত করে দেয় এবং নিরাপত্তা দলের জন্য অন্ধ দাগ তৈরি করে।
অনুসরণ সোলারওয়াইন্ডস হ্যাক 2020 সালে, সার্টিফিকেট অথরিটি/ব্রাউজার (CA/B) ফোরাম একটি নতুন সেট প্রকাশ করেছে বেসলাইন প্রয়োজনীয়তা কোড সাইনিং সার্টিফিকেট রক্ষণাবেক্ষণের জন্য যা হার্ডওয়্যার সিকিউরিটি মডিউল (HSMs), ডিভাইস যা ক্রিপ্টোগ্রাফিক কীগুলি বজায় রাখে এবং সুরক্ষিত রাখে, সেইসাথে প্রাইভেট কীগুলিকে রক্ষা করার জন্য অন্যান্য ব্যবস্থাগুলিকে বাধ্যতামূলক করে৷
এইচএসএম সর্বোচ্চ স্তরের নিরাপত্তা প্রদান করে, কিন্তু তারা খরচ, জটিলতা এবং রক্ষণাবেক্ষণের চাহিদাও বাড়ায়। যদি না সেগুলি DevOps টিম দ্বারা ব্যবহৃত কোড-স্বাক্ষর করার সরঞ্জামগুলিতে একত্রিত করা যায়, সংযোগ বিচ্ছিন্ন করা কোড-সাইনিং অ্যাক্সেসকে জটিল করে তুলতে পারে এবং প্রক্রিয়াটিকে ধীর করে দিতে পারে।
ক্লাউডে মাইগ্রেশন নিরাপত্তাকে উচ্চ অগ্রাধিকার দিয়েছে, কিন্তু ক্লাউড কোড সাইনিং এর সমাধানও দেয়। ক্লাউড কোড সাইনিং এবং এইচএসএম বিকাশকারীরা যে গতি এবং তত্পরতা চান তা প্রদান করতে পারে, সেইসাথে কেন্দ্রীভূত নিয়ন্ত্রণ যা বিতরণ করা উন্নয়ন দলকে সমর্থন করে, উন্নয়ন প্রক্রিয়াগুলিতে একীভূত করে এবং নিরাপত্তা দ্বারা আরও সহজে নিরীক্ষণ করা যায়।
দ্য জার্নি টু ইন্টিগ্রেটেড কোড সাইনিং
থেকে সাম্প্রতিক পরিবর্তন সঙ্গে CA/B ফোরাম, উন্নয়ন দলগুলিকে সমর্থন করতে কেন্দ্রীভূত নিয়ন্ত্রণের সাথে তাদের কোড সাইনিংকে আধুনিকীকরণের জন্য সংস্থাগুলির একটি যাত্রা শুরু করার সময় এসেছে৷ অনেক কোম্পানি "অ্যাডহক" পর্যায়ে থাকে, যেখানে স্থানীয়ভাবে কীগুলি রক্ষণাবেক্ষণ করা হয় এবং বিকাশকারীরা বিভিন্ন কোড সাইনিং প্রক্রিয়া এবং সরঞ্জাম ব্যবহার করে। অন্যদের কি সুরক্ষিত করার জন্য এইচএসএম ব্যবহার করে সুরক্ষা দলকে দৃশ্যমানতা এবং পরিচালনা দেওয়ার জন্য কেন্দ্রীয় নিয়ন্ত্রণ রয়েছে, তবে পৃথক কোড সাইনিং সরঞ্জাম ব্যবহার করে এখনও সফ্টওয়্যার বিকাশের গতিকে প্রভাবিত করে।
আদর্শ, পরিপক্ক কাঠামোর জন্য সমস্ত বিল্ড, কন্টেইনার, আর্টিফ্যাক্ট এবং এক্সিকিউটেবলগুলি জুড়ে প্রক্রিয়াটিকে নির্বিঘ্ন এবং সুবিন্যস্ত করার জন্য মূল নিরাপত্তা, কোড-সাইনিং সরঞ্জাম এবং উন্নয়ন কর্মপ্রবাহের একীকরণ প্রয়োজন। নিরাপত্তা দলগুলি এইচএসএমগুলি পরিচালনা করে এবং কোড সাইনিংয়ে সম্পূর্ণ দৃশ্যমানতা অর্জন করে, যখন বিকাশকারীদের এখন একটি চটপটে এবং দ্রুত বিকাশ পাইপলাইন রয়েছে৷
কিছু সেরা অনুশীলন এই যাত্রায় পথ প্রশস্ত করতে সাহায্য করতে পারে:
-
আপনার কীগুলি সুরক্ষিত করুন: একটি নিরাপদ স্থানে কোড-সাইনিং কী সংরক্ষণ করুন, যেমন একটি HSM যা CA/B ফোরাম ক্রিপ্টোগ্রাফিক প্রয়োজনীয়তা (FIPS 140-2 স্তর 2 বা সাধারণ মানদণ্ড EAL 4+) মেনে চলে। এইচএসএমগুলি হস্তক্ষেপ-প্রতিরোধী, এবং ব্যক্তিগত কীগুলি রপ্তানি হতে বাধা দেয়।
-
নিয়ন্ত্রণ অ্যাক্সেস: ভূমিকা-ভিত্তিক অ্যাক্সেস কন্ট্রোলের মাধ্যমে অ্যাক্সেস সীমিত করে ব্যক্তিগত কীগুলির অননুমোদিত অ্যাক্সেস এবং অপব্যবহারের ঝুঁকি হ্রাস করুন। অনুমোদনের কার্যপ্রবাহ সংজ্ঞায়িত করুন এবং শুধুমাত্র প্রয়োজনীয় কর্মীদের অ্যাক্সেস নিয়ন্ত্রণ করতে নিরাপত্তা নীতিগুলি প্রয়োগ করুন এবং অডিট লগগুলি বজায় রাখুন যা রেকর্ড করে যে স্বাক্ষর করার অনুরোধটি কে ট্রিগার করেছে, কে কীগুলি অ্যাক্সেস করেছে এবং কেন।
-
কী ঘোরান: যদি একটি কী আপস করা হয়, তবে এটির সাথে স্বাক্ষরিত সমস্ত রিলিজ আপস করার ঝুঁকিতে থাকে। কোড-সাইনিং কীগুলি নিয়মিত ঘোরান, এবং একাধিক DevOps টিম জুড়ে বিভিন্ন রিলিজে স্বাক্ষর করার জন্য অনন্য এবং পৃথক কী ব্যবহার করুন।
-
টাইম স্ট্যাম্প কোড: কোড-স্বাক্ষরকারী শংসাপত্রের সীমিত আয়ু থাকে — এক থেকে তিন বছর এবং সঙ্কুচিত। টাইম-স্ট্যাম্পিং কোড স্বাক্ষর করার সময় এটি একটি স্বাক্ষরের বৈধতা যাচাই করতে পারে এমনকি শংসাপত্রের মেয়াদ শেষ হয়ে যাওয়ার পরেও বা প্রত্যাহার করা হয়েছে, স্বাক্ষরিত কোড এবং সফ্টওয়্যারের বিশ্বাসকে প্রসারিত করে।
-
কোড অখণ্ডতা পরীক্ষা করুন: সোর্স কোড রিপোজিটরির সাথে বিল্ড সার্ভারে থাকা কোডের তুলনা করে চূড়ান্ত বিল্ড সাইন করার এবং রিলিজ করার আগে একটি সম্পূর্ণ কোড পর্যালোচনা করুন, এবং সমস্ত ডেভেলপার স্বাক্ষর যাচাই করে নিশ্চিত করুন যে তারা টেম্পার-মুক্ত।
-
কেন্দ্রীভূত ব্যবস্থাপনা: ব্যবসা আজ বিশ্বব্যাপী. একটি কেন্দ্রীভূত কোড স্বাক্ষর প্রক্রিয়া এন্টারপ্রাইজ জুড়ে স্বাক্ষর কার্যক্রম এবং সার্টিফিকেট নিরীক্ষণ করতে সাহায্য করতে পারে, বিকাশকারীরা যেখানেই থাকুক না কেন। এটি দৃশ্যমানতা উন্নত করে, জবাবদিহিতা তৈরি করে এবং নিরাপত্তার দুর্বলতা দূর করে।
-
নীতি প্রয়োগ করুন: কী ব্যবহারের অনুমতি, অনুমোদন, কী মেয়াদ, CA টাইপ, কী সাইজ, সাইনিং অ্যালগরিদম টাইপ এবং আরও অনেক কিছু সহ নীতিগুলি সংজ্ঞায়িত এবং ম্যাপিং করে কোড-স্বাক্ষর করার প্রক্রিয়াটিকে মানক করুন৷ নীতির উপর ভিত্তি করে সমস্ত কোড, ফাইল এবং সফ্টওয়্যার স্বাক্ষরিত এবং শিল্পের মানগুলির সাথে সঙ্গতিপূর্ণ তা নিশ্চিত করতে স্বয়ংক্রিয় নীতি প্রয়োগ করুন৷
-
কোড সাইনিং সহজ করুন: CI/CD সরঞ্জামগুলির সাথে সংহত এবং স্বয়ংক্রিয় কোড সাইনিং গতি এবং তত্পরতা প্রচার করার সময় নিরাপত্তার সাথে আপস না করে DevOps-এর প্রক্রিয়াটিকে সহজ করে তোলে।
ক্রমাগত ইন্টিগ্রেশন এবং ক্রমাগত স্থাপনার বিশ্বে, শক্তিশালী কোড-সাইনিং সর্বোত্তম অনুশীলনগুলি উন্নয়ন প্রক্রিয়ার উপর আস্থা তৈরি করার এবং আরও নিরাপদ সফ্টওয়্যার সরবরাহ চেইন সক্ষম করার একটি অমূল্য উপায় প্রদান করে।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
- : আছে
- : হয়
- :কোথায়
- 10
- 11
- 12
- 13
- 19
- 2020
- 7
- 8
- 9
- a
- প্রবেশ
- অ্যাক্সেসড
- দায়িত্ব
- দিয়ে
- ক্রিয়াকলাপ
- Ad
- যোগ করে
- পর
- কর্মতত্পর
- অ্যালগরিদম
- সব
- এছাড়াও
- an
- এবং
- অ্যাপ্লিকেশন
- অনুমোদন
- অনুমোদন
- রয়েছি
- AS
- বীমা করা
- At
- আক্রমন
- নিরীক্ষা
- স্বয়ংক্রিয় পদ্ধতি প্রয়োগ করা
- স্বয়ংক্রিয়করণ
- ভিত্তি
- BE
- হয়েছে
- আগে
- হচ্ছে
- সর্বোত্তম
- সেরা অভ্যাস
- নির্মাণ করা
- বিশ্বাস স্থাপন করো
- তৈরী করে
- কিন্তু
- by
- CA
- CAN
- কেন্দ্রীভূত
- শংসাপত্র
- সার্টিফিকেট
- চেন
- পরিবর্তন
- বৃত্ত
- মেঘ
- কোড
- কোড পূনর্বিবেচনা
- আসছে
- সাধারণ
- কোম্পানি
- কোম্পানি
- তুলনা
- জটিলতা
- অনুবর্তী
- আপস
- সংকটাপন্ন
- সন্দেহজনক
- কন্টেনারগুলি
- একটানা
- নিয়ন্ত্রণ
- সুবিধা
- মূল্য
- সৃষ্টি
- নির্ণায়ক
- ক্রিপ্টোগ্রাফিক
- নির্ধারণ করা
- সংজ্ঞা
- দাবি
- বিস্তৃতি
- বিকাশকারী
- ডেভেলপারদের
- উন্নয়ন
- উন্নয়ন দল
- ডিভাইস
- বিভিন্ন
- ডিজিটাল
- বণ্টিত
- নিচে
- সহজে
- ঘটিয়েছে
- যাত্রা
- সক্ষম করা
- জোরদার করা
- প্রয়োগকারী
- বর্ধনশীল
- নিশ্চিত করা
- উদ্যোগ
- এমন কি
- ফাঁসি
- অবসান
- ব্যাপ্ত
- কয়েক
- নথি পত্র
- চূড়ান্ত
- জন্য
- ফোরাম
- থেকে
- সম্পূর্ণ
- লাভ করা
- দাও
- বিশ্বব্যাপী
- ভাল
- শাসন
- হ্যাকার
- ছিল
- কঠিন
- হার্ডওয়্যারের
- হার্ডওয়্যার সুরক্ষা
- আছে
- সাহায্য
- ঊর্ধ্বতন
- সর্বোচ্চ
- HTTPS দ্বারা
- আইকন
- আদর্শ
- প্রভাব
- উন্নত
- in
- সুদ্ধ
- বৃদ্ধি
- শিল্প
- শিল্প মান
- ইনজেকশনও
- সংহত
- সংহত
- ইন্টিগ্রেশন
- অখণ্ডতা
- মধ্যে
- অমুল্য
- IT
- এর
- যাত্রা
- JPG
- চাবি
- কী
- গত
- নেতৃত্ব
- বৈধতা
- উচ্চতা
- আলো
- সীমিত
- সীমিত
- স্থানীয়
- স্থানীয়ভাবে
- অবস্থিত
- অবস্থান
- দীর্ঘ
- দেখুন
- মেশিন
- প্রণীত
- প্রধানত
- বজায় রাখা
- রক্ষণাবেক্ষণ
- নিয়ন্ত্রণের
- রক্ষণাবেক্ষণ
- করা
- ম্যালওয়্যার
- পরিচালনা করা
- ব্যবস্থাপনা
- ম্যান্ডেট
- অনেক
- ম্যাপিং
- পরিণত
- পরিমাপ
- অপব্যবহার
- আধুনিকীকরণ
- মডিউল
- মনিটর
- পর্যবেক্ষণ করা
- অধিক
- বহু
- প্রয়োজনীয়
- প্রয়োজন
- নতুন
- সংবাদ
- এখন
- of
- অফার
- on
- ONE
- কেবল
- খোলা
- or
- সংগঠন
- অন্যান্য
- অন্যরা
- নিজের
- আস্তৃত করা
- পিডিএফ
- অনুমতি
- পাইপলাইন
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- নীতি
- নীতি
- চর্চা
- প্রতিরোধ
- অগ্রাধিকার
- ব্যক্তিগত
- ব্যক্তিগত কী
- প্রক্রিয়া
- প্রসেস
- প্রচার
- রক্ষা করা
- রক্ষিত
- প্রদান
- কারণে
- সাম্প্রতিক
- নথি
- তথাপি
- নিয়মিতভাবে
- তাদের নিয়ন্ত্রণে আনা
- মুক্ত
- রিলিজ
- মুক্তি
- থাকা
- দূরবর্তী
- দূরবর্তী প্রবেশাধিকার
- সংগ্রহস্থলের
- অনুরোধ
- আবশ্যকতা
- প্রয়োজন
- এখানে ক্লিক করুন
- ঝুঁকি
- নির্বিঘ্ন
- নিরাপদ
- নিরাপত্তা
- সুরক্ষা নীতি
- আলাদা
- সার্ভার
- সার্ভারের
- সেট
- স্বাক্ষর
- স্বাক্ষর
- সাইন ইন
- স্বাক্ষর
- সরলীকৃত
- থেকে
- আয়তন
- ধীর
- সফটওয়্যার
- সফটওয়্যার উন্নয়ন
- সফ্টওয়্যার সরবরাহ শৃঙ্খলা
- সমাধান
- উৎস
- সোর্স কোড
- স্পীড
- দাগ
- দণ্ড
- পর্যায়
- মান
- এখনো
- দোকান
- কৌশল
- স্ট্রিমলাইনড
- শক্তিশালী
- গঠন
- এমন
- সরবরাহ
- সরবরাহ শৃঙ্খল
- সমর্থন
- সমর্থন
- নিশ্চিত
- গ্রহণ করা
- টীম
- দল
- যে
- সার্জারির
- উৎস
- চুরি
- তাদের
- তাহাদিগকে
- তারা
- এই
- তিন
- দ্বারা
- সময়
- থেকে
- আজ
- সরঞ্জাম
- আলোড়ন সৃষ্টি
- আস্থা
- বিশ্বস্ত
- আদর্শ
- অনধিকার
- অনন্য
- যদি না
- ব্যবহার
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- ব্যবহার
- বৈচিত্র্য
- যাচাই
- দৃষ্টিপাত
- দুর্বলতা
- প্রয়োজন
- ছিল
- উপায়..
- আমরা একটি
- যখন
- হু
- কেন
- সঙ্গে
- ছাড়া
- কর্মপ্রবাহ
- বিশ্ব
- বছর
- আপনার
- zephyrnet