نظر
اخبار اخیر مبنی بر اینکه هکرها به شرکت راه حل دسترسی از راه دور نفوذ کرده اند AnyDesk روشنگر نیاز شرکتها به نگاهی طولانی و سخت به شیوههای امضای کد برای کمک به تضمین امنیت زنجیره تامین نرمافزار بود.
امضای کد، امضای دیجیتالی را به نرمافزار، سیستمافزار یا برنامهها اضافه میکند که تضمین میکند کد کاربر از یک منبع قابل اعتماد میآید و از آخرین امضای آن دستکاری نشده است. اما امضای کد فقط به اندازه اجرای آن خوب است و اقدامات ناکافی می تواند منجر به تزریق بدافزار، دستکاری کد و نرم افزار و حملات جعل هویت شود.
کلیدهای خصوصی باید محافظت شوند، اما بسیاری از توسعه دهندگان (عمدتا به دلایل راحتی) خود را حفظ کرده و در ماشین های محلی خود ذخیره می کنند یا سرورهای خود را می سازند. این امر آنها را در معرض سرقت و سوء استفاده قرار می دهد و نقاط کوری را برای تیم های امنیتی ایجاد می کند.
پس از هک SolarWinds در سال 2020، انجمن صدور گواهینامه/مرورگر (CA/B) مجموعه جدیدی از الزامات پایه برای حفظ گواهینامه های امضای کد که استفاده از ماژول های امنیتی سخت افزاری (HSM) را الزامی می کند، دستگاه هایی که کلیدهای رمزنگاری را حفظ و ایمن می کنند، و همچنین سایر اقدامات برای محافظت از کلیدهای خصوصی.
HSM ها بالاترین سطح امنیت را ارائه می دهند، اما هزینه، پیچیدگی و نیازهای تعمیر و نگهداری را نیز افزایش می دهند. مگر اینکه بتوان آنها را با ابزارهای امضای کد مورد استفاده توسط تیم DevOps ادغام کرد، قطع ارتباط می تواند دسترسی به امضای کد را پیچیده کند و روند را کاهش دهد.
مهاجرت به ابر امنیت را در اولویت بالاتری قرار داده است، اما ابر راه حلی برای امضای کد نیز ارائه می دهد. امضای کدهای ابری و HSMها میتوانند سرعت و چابکی مورد نظر توسعهدهندگان و همچنین کنترل متمرکزی را که از تیمهای توسعه توزیع شده پشتیبانی میکند، در فرآیندهای توسعه ادغام میکند و با امنیت راحتتر نظارت میشود، فراهم کنند.
سفر به امضای کد یکپارچه
با تغییرات اخیر از انجمن CA/B، زمان آن فرا رسیده است که سازمان ها سفری را برای نوسازی امضای کد خود با کنترل متمرکز برای حمایت از تیم های توسعه آغاز کنند. بسیاری از شرکت ها در مرحله "ad hoc" باقی می مانند، جایی که کلیدها به صورت محلی نگهداری می شوند و توسعه دهندگان از انواع فرآیندها و ابزارهای امضای کد استفاده می کنند. برخی دیگر با استفاده از HSMها برای ایمن کردن کلیدها، کنترل متمرکزی برای مشاهده و حاکمیت تیم های امنیتی دارند، اما استفاده از ابزارهای امضای کد جداگانه همچنان بر سرعت توسعه نرم افزار تأثیر می گذارد.
ساختار ایدهآل و بالغ نیاز به ادغام امنیت کلیدی، ابزارهای امضای کد و گردشهای کاری توسعه دارد تا فرآیند را بدون درز و کارآمد در تمام ساختها، کانتینرها، مصنوعات و فایلهای اجرایی ایجاد کند. تیم های امنیتی HSM ها را مدیریت می کنند و به امضای کد دسترسی کامل پیدا می کنند، در حالی که توسعه دهندگان اکنون یک خط لوله توسعه چابک و سریع دارند.
چند روش برتر می تواند به هموار کردن راه در این سفر کمک کند:
-
کلیدهای خود را ایمن کنید: کلیدهای امضای کد را در مکانی امن ذخیره کنید، مانند HSM که با الزامات رمزنگاری انجمن CA/B مطابقت دارد (FIPS 140-2 Level 2 یا Common Criteria EAL 4+). HSM ها در برابر دستکاری مقاوم هستند و از صدور کلیدهای خصوصی جلوگیری می کنند.
-
کنترل دسترسی: با محدود کردن دسترسی از طریق کنترل دسترسی مبتنی بر نقش، خطر دسترسی غیرمجاز و سوء استفاده از کلیدهای خصوصی را به حداقل برسانید. گردش کار تأیید را تعریف کنید و سیاستهای امنیتی را برای تنظیم دسترسی فقط به کارکنان ضروری اعمال کنید و گزارشهای حسابرسی را حفظ کنید که ثبت میکند چه کسی درخواست امضا را راهاندازی کرده است، چه کسی به کلیدها دسترسی داشته است و چرا.
-
چرخاندن کلیدها: اگر یک کلید به خطر بیفتد، همه نسخه های امضا شده با آن در معرض خطر قرار می گیرند. کلیدهای امضای کد را به طور منظم بچرخانید و از کلیدهای منحصر به فرد و جداگانه برای امضای نسخه های مختلف در چندین تیم DevOps استفاده کنید.
-
کد تمبر زمان: گواهینامه های امضای کد دارای طول عمر محدودی هستند - یک تا سه سال و در حال کاهش است. کد مهر زمانی هنگام امضای آن میتواند مشروعیت امضا را حتی پس از انقضای گواهی یا باطل شدن آن تأیید کند و اعتماد کد و نرمافزار امضا شده را افزایش دهد.
-
بررسی یکپارچگی کد: قبل از امضا و انتشار نسخه نهایی با مقایسه کد موجود در سرور ساخت با مخزن کد منبع، یک بازبینی کامل کد را انجام دهید و تمام امضاهای توسعه دهنده را تأیید کنید تا مطمئن شوید که بدون دستکاری هستند.
-
مدیریت متمرکز: امروزه کسب و کارها جهانی هستند. یک فرآیند امضای کد متمرکز میتواند به نظارت بر فعالیتها و گواهیهای امضا در سراسر شرکت کمک کند، صرف نظر از اینکه توسعهدهندگان در کجا قرار دارند. دید را بهبود می بخشد، مسئولیت پذیری را ایجاد می کند و آسیب پذیری های امنیتی را از بین می برد.
-
اجرای سیاست ها: فرآیند امضای کد را با تعریف و ترسیم خطمشیها، از جمله مجوزهای استفاده از کلید، تأییدیهها، انقضای کلید، نوع CA، اندازه کلید، نوع الگوریتم امضا، و غیره استاندارد کنید. اجرای خط مشی را به صورت خودکار انجام دهید تا اطمینان حاصل کنید که همه کدها، فایل ها و نرم افزارها بر اساس خط مشی امضا شده اند و با استانداردهای صنعت مطابقت دارند.
-
امضای کد را ساده کنید: ادغام و خودکار کردن امضای کد با ابزارهای CI/CD، فرآیند DevOps را بدون به خطر انداختن امنیت و در عین حال افزایش سرعت و چابکی، ساده میکند.
در دنیای ادغام مستمر و استقرار مستمر، بهترین شیوههای امضای کد قوی، راه ارزشمندی برای ایجاد اعتماد در فرآیند توسعه و ایجاد یک زنجیره تامین نرمافزار ایمنتر فراهم میکند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
- : دارد
- :است
- :جایی که
- 10
- 11
- 12
- 13
- 19
- 2020
- 7
- 8
- 9
- a
- دسترسی
- قابل دسترسی است
- مسئوليت
- در میان
- فعالیت ها
- Ad
- می افزاید:
- پس از
- فرز
- الگوریتم
- معرفی
- همچنین
- an
- و
- برنامه های کاربردی
- تصویب
- تائیدیه
- هستند
- AS
- اطمینان می دهد
- At
- حمله
- حسابرسی
- خودکار بودن
- اتوماسیون
- مستقر
- BE
- بوده
- قبل از
- بودن
- بهترین
- بهترین شیوه
- ساختن
- ایجاد اعتماد
- می سازد
- اما
- by
- CA
- CAN
- متمرکز
- گواهی نامه
- گواهینامه ها
- زنجیر
- تبادل
- دایره
- ابر
- رمز
- بررسی کد
- آینده
- مشترک
- شرکت
- شرکت
- مقایسه
- پیچیدگی
- موافق
- سازش
- در معرض خطر
- مصالحه
- ظروف
- مداوم
- کنترل
- راحتی
- هزینه
- ایجاد
- ضوابط
- رمزنگاری
- تعريف كردن
- تعریف کردن
- خواسته
- گسترش
- توسعه دهنده
- توسعه دهندگان
- پروژه
- تیم های توسعه
- دستگاه ها
- مختلف
- دیجیتال
- توزیع شده
- پایین
- به آسانی
- حذف می شود
- سوار شدن
- قادر ساختن
- اعمال
- اجرای
- افزایش
- اطمینان حاصل شود
- سرمایه گذاری
- حتی
- اعدام
- انقضا
- گسترش
- کمی از
- فایل ها
- نهایی
- برای
- انجمن
- از جانب
- کامل
- افزایش
- دادن
- جهانی
- خوب
- حکومت
- هکرها
- بود
- سخت
- سخت افزار
- امنیت سخت افزار
- آیا
- کمک
- بالاتر
- بالاترین
- HTTPS
- ICON
- دلخواه
- اثرات
- را بهبود می بخشد
- in
- از جمله
- افزایش
- صنعت
- استانداردهای صنعت
- تزریق
- یکپارچه
- ادغام
- ادغام
- تمامیت
- به
- فوق العاده گرانبها
- IT
- ITS
- سفر
- JPG
- کلید
- کلید
- نام
- رهبری
- مشروعیت
- سطح
- سبک
- محدود شده
- محدود کردن
- محلی
- به صورت محلی
- واقع شده
- محل
- طولانی
- نگاه کنيد
- ماشین آلات
- ساخته
- عمدتا
- حفظ
- حفظ
- حفظ
- نگهداری
- ساخت
- نرم افزارهای مخرب
- مدیریت
- مدیریت
- ماموریت ها
- بسیاری
- نقشه برداری
- بالغ
- معیارهای
- سوء استفاده
- نوین کردن
- ماژول ها
- مانیتور
- نظارت
- بیش
- چندگانه
- لازم
- نیاز
- جدید
- اخبار
- اکنون
- of
- پیشنهادات
- on
- ONE
- فقط
- باز کن
- or
- سازمان های
- دیگر
- دیگران
- خود
- سنگفرش
- مجوز
- خط لوله
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- سیاست
- شیوه های
- جلوگیری از
- اولویت
- خصوصی
- کلیدهای خصوصی
- روند
- فرآیندهای
- ترویج
- محافظت از
- محفوظ
- ارائه
- دلایل
- اخیر
- رکورد
- بدون در نظر گرفتن
- به طور منظم
- تنظیم کردن
- منتشر شد
- منتشر شده
- آزاد
- ماندن
- دور
- دسترسی از راه دور
- مخزن
- درخواست
- مورد نیاز
- نیاز
- این فایل نقد می نویسید:
- خطر
- بدون درز
- امن
- تیم امنیت لاتاری
- سیاست های امنیتی
- جداگانه
- سرور
- سرور
- تنظیم
- امضا
- امضا
- امضاء شده
- امضای
- ساده می کند
- پس از
- اندازه
- کند
- نرم افزار
- توسعه نرم افزار
- زنجیره تامین نرم افزار
- راه حل
- منبع
- کد منبع
- سرعت
- نقاط
- کارکنان
- صحنه
- استانداردهای
- هنوز
- opbevare
- استراتژی ها
- ساده
- قوی
- ساختار
- چنین
- عرضه
- زنجیره تامین
- پشتیبانی
- پشتیبانی از
- مطمئن
- گرفتن
- تیم
- تیم ها
- که
- La
- منبع
- سرقت
- شان
- آنها
- آنها
- این
- سه
- از طریق
- زمان
- به
- امروز
- ابزار
- باعث شد
- اعتماد
- مورد اعتماد
- نوع
- غیر مجاز
- منحصر به فرد
- مگر
- استفاده
- استفاده کنید
- استفاده
- کاربر
- با استفاده از
- تنوع
- بررسی
- دید
- آسیب پذیری ها
- می خواهم
- بود
- مسیر..
- خوب
- در حین
- WHO
- چرا
- با
- بدون
- گردش کار
- جهان
- سال
- شما
- زفیرنت