टीका
हालिया खबर है कि हैकर्स ने रिमोट एक्सेस सॉल्यूशन कंपनी में सेंध लगाई है AnyDesk अधिक सुरक्षित सॉफ़्टवेयर आपूर्ति श्रृंखला सुनिश्चित करने में मदद करने के लिए कंपनियों को कोड-हस्ताक्षर प्रथाओं पर एक लंबी, कड़ी नज़र डालने की आवश्यकता पर कठोर प्रकाश डाला गया।
कोड हस्ताक्षर सॉफ़्टवेयर, फ़र्मवेयर या एप्लिकेशन में एक डिजिटल हस्ताक्षर जोड़ता है जो यह सुनिश्चित करता है कि उपयोगकर्ता कोड एक विश्वसनीय स्रोत से आ रहा है और अंतिम बार हस्ताक्षर किए जाने के बाद से इसके साथ छेड़छाड़ नहीं की गई है। लेकिन कोड हस्ताक्षर करना उतना ही अच्छा है जितना उसका निष्पादन, और अपर्याप्त प्रथाओं से मैलवेयर इंजेक्शन, कोड और सॉफ़्टवेयर के साथ छेड़छाड़ और प्रतिरूपण हमले हो सकते हैं।
निजी कुंजियों को संरक्षित करना पड़ता है, लेकिन कई डेवलपर्स (मुख्य रूप से सुविधा कारणों से) अपनी स्वयं की कुंजी बनाए रखते हैं और उन्हें अपनी स्थानीय मशीनों या बिल्ड सर्वर में संग्रहीत करते हैं। यह उन्हें चोरी और दुरुपयोग के लिए खुला छोड़ देता है, और सुरक्षा टीमों के लिए अंध स्थान बनाता है।
निम्नलिखित SolarWinds हैक 2020 में, सर्टिफिकेट अथॉरिटी/ब्राउज़र (सीए/बी) फोरम ने एक नया सेट जारी किया आधारभूत आवश्यकताएँ कोड-हस्ताक्षर प्रमाणपत्रों को बनाए रखने के लिए जो हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम), क्रिप्टोग्राफ़िक कुंजी को बनाए रखने और सुरक्षित करने वाले उपकरणों के साथ-साथ निजी कुंजी की सुरक्षा के लिए अन्य उपायों के उपयोग को अनिवार्य करता है।
एचएसएम उच्चतम स्तर की सुरक्षा प्रदान करते हैं, लेकिन वे लागत, जटिलता और रखरखाव की मांग भी बढ़ाते हैं। जब तक उन्हें DevOps टीम द्वारा उपयोग किए जाने वाले कोड-साइनिंग टूल में एकीकृत नहीं किया जा सकता, तब तक डिस्कनेक्ट कोड-साइनिंग एक्सेस को जटिल बना सकता है और प्रक्रिया को धीमा कर सकता है।
क्लाउड में स्थानांतरण ने सुरक्षा को उच्च प्राथमिकता बना दी है, लेकिन क्लाउड कोड हस्ताक्षर के लिए एक समाधान भी प्रदान करता है। क्लाउड कोड साइनिंग और एचएसएम वह गति और चपलता प्रदान कर सकते हैं जो डेवलपर्स चाहते हैं, साथ ही केंद्रीकृत नियंत्रण जो वितरित विकास टीमों का समर्थन करता है, विकास प्रक्रियाओं में एकीकृत होता है, और सुरक्षा द्वारा अधिक आसानी से निगरानी की जा सकती है।
एकीकृत कोड हस्ताक्षर की यात्रा
से हाल के बदलावों के साथ सीए / बी फोरम, अब संगठनों के लिए विकास टीमों का समर्थन करने के लिए केंद्रीकृत नियंत्रण के साथ अपने कोड हस्ताक्षर को आधुनिक बनाने की यात्रा शुरू करने का समय आ गया है। कई कंपनियां "तदर्थ" चरण में रहती हैं, जहां चाबियाँ स्थानीय स्तर पर बनाए रखी जाती हैं और डेवलपर्स विभिन्न प्रकार की कोड हस्ताक्षर प्रक्रियाओं और उपकरणों का उपयोग करते हैं। दूसरों के पास कुंजी सुरक्षित करने के लिए एचएसएम का उपयोग करके सुरक्षा टीमों को दृश्यता और शासन देने के लिए केंद्रीकृत नियंत्रण है, लेकिन अलग-अलग कोड हस्ताक्षर उपकरण का उपयोग अभी भी सॉफ्टवेयर विकास की गति को प्रभावित करता है।
आदर्श, परिपक्व संरचना के लिए सभी बिल्ड, कंटेनर, कलाकृतियों और निष्पादन योग्य में प्रक्रिया को निर्बाध और सुव्यवस्थित बनाने के लिए प्रमुख सुरक्षा, कोड-हस्ताक्षर उपकरण और विकास वर्कफ़्लो के एकीकरण की आवश्यकता होती है। सुरक्षा टीमें एचएसएम का प्रबंधन करती हैं और कोड हस्ताक्षर में पूर्ण दृश्यता प्राप्त करती हैं, जबकि डेवलपर्स के पास अब एक चुस्त और त्वरित विकास पाइपलाइन है।
कुछ सर्वोत्तम प्रथाएँ इस यात्रा में मार्ग प्रशस्त करने में मदद कर सकती हैं:
-
अपनी चाबियाँ सुरक्षित करें: कोड-हस्ताक्षर कुंजियों को एक सुरक्षित स्थान पर संग्रहीत करें, जैसे कि एचएसएम जो सीए/बी फोरम क्रिप्टोग्राफ़िक आवश्यकताओं (एफआईपीएस 140-2 स्तर 2 या सामान्य मानदंड ईएएल 4+) का अनुपालन करता है। एचएसएम छेड़छाड़-प्रतिरोधी हैं, और निजी कुंजी को निर्यात होने से रोकते हैं।
-
पहुंच नियंत्रित करें: भूमिका-आधारित पहुंच नियंत्रण के माध्यम से पहुंच को सीमित करके अनधिकृत पहुंच और निजी कुंजी के दुरुपयोग के जोखिम को कम करें। अनुमोदन वर्कफ़्लो को परिभाषित करें और केवल आवश्यक कर्मचारियों तक पहुंच को विनियमित करने के लिए सुरक्षा नीतियों को लागू करें, और ऑडिट लॉग बनाए रखें जो रिकॉर्ड करते हैं कि हस्ताक्षर अनुरोध को किसने ट्रिगर किया, किसने कुंजियों तक पहुंच बनाई और क्यों।
-
कुंजियाँ घुमाएँ: यदि एक कुंजी से समझौता किया जाता है, तो उसके साथ हस्ताक्षरित सभी रिलीज़ों से समझौता होने का खतरा होता है। कोड-साइनिंग कुंजियों को नियमित रूप से घुमाएँ, और कई DevOps टीमों में विभिन्न रिलीज़ों पर हस्ताक्षर करने के लिए अद्वितीय और अलग कुंजियों का उपयोग करें।
-
टाइम-स्टैम्प कोड: कोड-हस्ताक्षर प्रमाणपत्रों का जीवनकाल सीमित होता है - एक से तीन वर्ष और सिकुड़ता हुआ। हस्ताक्षर करते समय टाइम-स्टैम्पिंग कोड, प्रमाणपत्र समाप्त होने या निरस्त होने के बाद भी हस्ताक्षर की वैधता को सत्यापित कर सकता है, जिससे हस्ताक्षरित कोड और सॉफ़्टवेयर का विश्वास बढ़ जाता है।
-
कोड की अखंडता की जाँच करें: स्रोत कोड रिपॉजिटरी के साथ बिल्ड सर्वर में कोड की तुलना करके अंतिम बिल्ड पर हस्ताक्षर करने और जारी करने से पहले एक पूर्ण कोड समीक्षा करें, और यह सुनिश्चित करने के लिए सभी डेवलपर हस्ताक्षर सत्यापित करें कि वे छेड़छाड़ मुक्त हैं।
-
केंद्रीकृत प्रबंधन: व्यवसाय आज वैश्विक हैं। एक केंद्रीकृत कोड हस्ताक्षर प्रक्रिया पूरे उद्यम में हस्ताक्षर गतिविधियों और प्रमाणपत्रों की निगरानी में मदद कर सकती है, भले ही डेवलपर्स कहीं भी स्थित हों। यह दृश्यता में सुधार करता है, जवाबदेही बनाता है और सुरक्षा कमजोरियों को दूर करता है।
-
नीतियां लागू करें: मुख्य उपयोग अनुमतियाँ, अनुमोदन, कुंजी समाप्ति, सीए प्रकार, कुंजी आकार, हस्ताक्षर एल्गोरिदम प्रकार और अधिक सहित नीतियों को परिभाषित और मैप करके कोड-हस्ताक्षर प्रक्रिया को मानकीकृत करें। यह सुनिश्चित करने के लिए नीति प्रवर्तन को स्वचालित करें कि सभी कोड, फ़ाइलें और सॉफ़्टवेयर नीति के आधार पर हस्ताक्षरित हैं और उद्योग मानकों के अनुरूप हैं।
-
कोड हस्ताक्षर को सरल बनाएं: CI/CD टूल के साथ कोड साइनिंग को एकीकृत और स्वचालित करना गति और चपलता को बढ़ावा देते हुए सुरक्षा से समझौता किए बिना DevOps के लिए प्रक्रिया को सरल बनाता है।
निरंतर एकीकरण और निरंतर तैनाती की दुनिया में, मजबूत कोड-साइनिंग सर्वोत्तम प्रथाएं विकास प्रक्रिया में विश्वास बनाने और अधिक सुरक्षित सॉफ्टवेयर आपूर्ति श्रृंखला को सक्षम करने का एक अमूल्य तरीका प्रदान करती हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
- :हैस
- :है
- :कहाँ
- 10
- 11
- 12
- 13
- 19
- 2020
- 7
- 8
- 9
- a
- पहुँच
- पहुँचा
- जवाबदेही
- के पार
- गतिविधियों
- Ad
- जोड़ता है
- बाद
- चुस्त
- कलन विधि
- सब
- भी
- an
- और
- अनुप्रयोगों
- अनुमोदन
- मंजूरी
- हैं
- AS
- भरोसा दिलाते हैं
- At
- आक्रमण
- आडिट
- को स्वचालित रूप से
- स्वचालित
- आधारित
- BE
- किया गया
- से पहले
- जा रहा है
- BEST
- सर्वोत्तम प्रथाओं
- निर्माण
- विश्वास का निर्माण
- बनाता है
- लेकिन
- by
- CA
- कर सकते हैं
- केंद्रीकृत
- प्रमाण पत्र
- प्रमाण पत्र
- श्रृंखला
- परिवर्तन
- चक्र
- बादल
- कोड
- को़ड समीक्षा
- अ रहे है
- सामान्य
- कंपनियों
- कंपनी
- की तुलना
- जटिलता
- आज्ञाकारी
- समझौता
- छेड़छाड़ की गई
- समझौता
- कंटेनरों
- निरंतर
- नियंत्रण
- सुविधा
- लागत
- बनाता है
- मापदंड
- क्रिप्टोग्राफिक
- परिभाषित
- परिभाषित करने
- मांग
- तैनाती
- डेवलपर
- डेवलपर्स
- विकास
- विकास दल
- डिवाइस
- विभिन्न
- डिजिटल
- वितरित
- नीचे
- आसानी
- को हटा देता है
- प्रारंभ
- सक्षम
- लागू करना
- प्रवर्तन
- बढ़ाने
- सुनिश्चित
- उद्यम
- और भी
- निष्पादन
- समाप्ति
- का विस्तार
- कुछ
- फ़ाइलें
- अंतिम
- के लिए
- मंच
- से
- पूर्ण
- लाभ
- देना
- वैश्विक
- अच्छा
- शासन
- हैकर्स
- था
- कठिन
- हार्डवेयर
- हार्डवेयर सुरक्षा
- है
- मदद
- उच्चतर
- उच्चतम
- HTTPS
- नायक
- आदर्श
- Impacts
- सुधार
- in
- सहित
- बढ़ना
- उद्योग
- उद्योग के मानकों
- इंजेक्शन
- एकीकृत
- एकीकृत
- एकीकरण
- ईमानदारी
- में
- अमूल्य
- IT
- आईटी इस
- यात्रा
- जेपीजी
- कुंजी
- Instagram पर
- पिछली बार
- नेतृत्व
- वैधता
- स्तर
- प्रकाश
- सीमित
- सीमित
- स्थानीय
- स्थानीय स्तर पर
- स्थित
- स्थान
- लंबा
- देखिए
- मशीनें
- बनाया गया
- मुख्यतः
- बनाए रखना
- बनाए रखा
- को बनाए रखने के
- रखरखाव
- बनाना
- मैलवेयर
- प्रबंधन
- प्रबंध
- जनादेश
- बहुत
- मानचित्रण
- परिपक्व
- उपायों
- गलत इस्तेमाल
- आधुनिकीकरण
- मॉड्यूल
- मॉनिटर
- नजर रखी
- अधिक
- विभिन्न
- आवश्यक
- आवश्यकता
- नया
- समाचार
- अभी
- of
- ऑफर
- on
- ONE
- केवल
- खुला
- or
- संगठनों
- अन्य
- अन्य
- अपना
- प्रशस्त
- पीडीएफ
- अनुमतियाँ
- पाइपलाइन
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- नीतियाँ
- नीति
- प्रथाओं
- को रोकने के
- प्राथमिकता
- निजी
- निजी कुंजी
- प्रक्रिया
- प्रक्रियाओं
- को बढ़ावा देना
- रक्षा करना
- संरक्षित
- प्रदान करना
- कारण
- हाल
- रिकॉर्ड
- भले ही
- नियमित तौर पर
- विनियमित
- रिहा
- विज्ञप्ति
- को रिहा
- रहना
- दूरस्थ
- सुदूर अभिगम
- कोष
- का अनुरोध
- आवश्यकताएँ
- की आवश्यकता होती है
- की समीक्षा
- जोखिम
- निर्बाध
- सुरक्षित
- सुरक्षा
- सुरक्षा नीतियां
- अलग
- सर्वर
- सर्वर
- सेट
- हस्ताक्षर
- हस्ताक्षर
- पर हस्ताक्षर किए
- पर हस्ताक्षर
- सरल
- के बाद से
- आकार
- धीमा
- सॉफ्टवेयर
- सॉफ्टवेयर विकास
- सॉफ्टवेयर आपूर्ति श्रृंखला
- समाधान
- स्रोत
- स्रोत कोड
- गति
- स्पॉट
- कर्मचारी
- ट्रेनिंग
- मानकों
- फिर भी
- की दुकान
- रणनीतियों
- बुद्धिसंगत
- मजबूत
- संरचना
- ऐसा
- आपूर्ति
- आपूर्ति श्रृंखला
- समर्थन
- समर्थन करता है
- निश्चित
- लेना
- टीम
- टीमों
- कि
- RSI
- स्रोत
- चोरी
- लेकिन हाल ही
- उन
- वे
- इसका
- तीन
- यहाँ
- पहर
- सेवा मेरे
- आज
- उपकरण
- शुरू हो रहा
- ट्रस्ट
- विश्वस्त
- टाइप
- अनधिकृत
- अद्वितीय
- जब तक
- प्रयोग
- उपयोग
- प्रयुक्त
- उपयोगकर्ता
- का उपयोग
- विविधता
- सत्यापित
- दृश्यता
- कमजोरियों
- करना चाहते हैं
- था
- मार्ग..
- कुंआ
- जब
- कौन
- क्यों
- साथ में
- बिना
- workflows
- विश्व
- साल
- आपका
- जेफिरनेट