פַּרשָׁנוּת
החדשות האחרונות שהאקרים פרצו לחברת פתרונות גישה מרחוק AnyDesk האיר באור חריף את הצורך של חברות להסתכל ארוכות וקפדניות על נוהלי חתימת קוד כדי לעזור להבטיח שרשרת אספקת תוכנה מאובטחת יותר.
חתימת קוד מוסיפה חתימה דיגיטלית לתוכנה, לקושחה או ליישומים המבטיחה שקוד המשתמש מגיע ממקור מהימן ולא טופלה מאז החתימה האחרונה. אבל חתימת קוד טובה רק כמו הביצוע שלו, ושיטות עבודה לא נאותות עלולות להוביל להזרקת תוכנות זדוניות, התעסקות בקוד ובתוכנה, והתקפות התחזות.
יש להגן על מפתחות פרטיים, אך מפתחים רבים (בעיקר מטעמי נוחות) שומרים על מפתחות משלהם ומאחסנים אותם במכונות המקומיות שלהם או בונים שרתים. זה משאיר אותם פתוחים לגניבה ושימוש לרעה, ויוצר נקודות עיוורות עבור צוותי האבטחה.
בעקבות פריצה של SolarWinds בשנת 2020, פורום רשות האישורים/דפדפן (CA/B) פרסם סט חדש של דרישות בסיס לשמירה על תעודות חתימת קוד המחייבות שימוש במודולי אבטחת חומרה (HSMs), התקנים ששומרים ומאבטחים מפתחות קריפטוגרפיים, כמו גם אמצעים אחרים להגנה על מפתחות פרטיים.
HSMs מספקים את רמת האבטחה הגבוהה ביותר, אך הם גם מגדילים את העלות, המורכבות ואת דרישות התחזוקה. אלא אם כן ניתן לשלב אותם בכלי חתימת הקוד המשמשים את צוות DevOps, הניתוק יכול לסבך את גישת חתימת הקוד ולהאט את התהליך.
ההגירה לענן הפכה את האבטחה לעדיפות גבוהה יותר, אך הענן מציע גם פתרון לחתימת קוד. חתימת קוד בענן ו-HSMs יכולים לספק את המהירות והזריזות שהמפתחים רוצים, כמו גם בקרה מרכזית התומכת בצוותי פיתוח מבוזרים, משתלבת בתהליכי הפיתוח, וניתן לנטר בקלות יותר על ידי אבטחה.
המסע לחתימת קוד משולבת
עם השינויים האחרונים מ- פורום CA / B, הגיע הזמן שארגונים ייצאו למסע למודרניזציה של חתימת הקוד שלהם עם בקרה מרכזית לתמיכה בצוותי פיתוח. חברות רבות נשארות בשלב "אד הוק", שבו מפתחות נשמרים באופן מקומי ומפתחים משתמשים במגוון תהליכי חתימת קוד וכלים. אחרים ביצעו שליטה מרכזית כדי לתת לצוותי אבטחה נראות וממשל על ידי שימוש ב-HSMs לאבטחת מפתחות, אך שימוש בכלי חתימת קוד נפרדים עדיין משפיע על מהירות פיתוח התוכנה.
המבנה האידיאלי והבוגר דורש שילוב של אבטחת מפתח, כלי חתימת קוד וזרימות עבודה של פיתוח כדי להפוך את התהליך לחלק ויעיל על פני כל ה-builds, הקונטיינרים, החפצים וקובצי ההפעלה. צוותי אבטחה מנהלים את ה-HSMs ומקבלים נראות מלאה בחתימת קוד, בעוד למפתחים יש כעת צינור פיתוח זריז ומהיר.
כמה שיטות עבודה מומלצות יכולות לעזור לסלול את הדרך במסע הזה:
-
אבטח את המפתחות שלך: אחסן מפתחות חתימת קוד במיקום מאובטח, כגון HSM התואם לדרישות ההצפנה של CA/B Forum (FIPS 140-2 Level 2 או Common Criteria EAL 4+). HSMs עמידים בפני חבלה ומונעים ייצוא של מפתחות פרטיים.
-
שליטה בגישה: צמצם את הסיכון של גישה בלתי מורשית ושימוש לרעה במפתחות פרטיים על ידי הגבלת גישה באמצעות בקרת גישה מבוססת תפקידים. הגדר זרימות עבודה של אישור ואכיפת מדיניות אבטחה כדי להסדיר את הגישה לצוות הדרוש בלבד, ולשמור על יומני ביקורת שמתעדים מי הפעיל את בקשת החתימה, מי ניגש למפתחות ומדוע.
-
סובב מקשים: אם מפתח אחד נפגע, כל המהדורות שנחתמו איתו נמצאות בסכנת פשרה. סובב מפתחות חתימת קוד באופן קבוע, והשתמש במפתחות ייחודיים ונפרדים לחתימה על מהדורות שונות על פני צוותי DevOps מרובים.
-
קוד חותמת זמן: לתעודות חתימת קוד יש תוחלת חיים מוגבלת - שנה עד שלוש שנים ומתכווצות. חותמת קוד בזמן החתימה עליו יכולה לאמת את הלגיטימיות של חתימה גם לאחר שהאישור פג או בוטל, מה שמרחיב את האמון של הקוד והתוכנה החתומים.
-
בדוק את תקינות הקוד: בצע סקירת קוד מלאה לפני החתימה והשחרור של ה-build הסופי על-ידי השוואת הקוד בשרת ה-build עם מאגר קוד המקור, ואמת את כל חתימות המפתחים כדי לוודא שהן נקיות מפגיעה.
-
ריכוז ניהול: עסקים היום הם גלובליים. תהליך חתימת קוד מרכזי יכול לעזור לנטר פעילויות חתימה ותעודות ברחבי הארגון, ללא קשר למקום שבו נמצאים המפתחים. זה משפר את הנראות, בונה אחריות ומבטל פרצות אבטחה.
-
אכיפת מדיניות: תקן את תהליך חתימת הקוד על ידי הגדרה ומיפוי מדיניות, כולל הרשאות שימוש במפתח, אישורים, תפוגת מפתח, סוג CA, גודל מפתח, סוג אלגוריתם חתימה ועוד. הפוך את אכיפת המדיניות לאוטומטית כדי להבטיח שכל הקוד, הקבצים והתוכנה חתומים על סמך מדיניות ותואמים לתקנים בתעשייה.
-
פשט את חתימת הקוד: שילוב ואוטומציה של חתימת קוד עם כלי CI/CD מפשט את התהליך עבור DevOps מבלי לפגוע באבטחה תוך קידום מהירות וזריזות.
בעולם של אינטגרציה מתמשכת ופריסה מתמשכת, שיטות עבודה מומלצות חזקות של חתימת קוד מספקות דרך שלא יסולא בפז לבנות אמון בתהליך הפיתוח ולאפשר שרשרת אספקת תוכנה מאובטחת יותר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
- :יש ל
- :הוא
- :איפה
- 10
- 11
- 12
- 13
- 19
- 2020
- 7
- 8
- 9
- a
- גישה
- נצפה
- דין וחשבון
- לרוחב
- פעילויות
- Ad
- מוסיף
- לאחר
- זריז
- אַלגוֹרִיתְם
- תעשיות
- גם
- an
- ו
- יישומים
- הסכמה
- אישורים
- ARE
- AS
- מבטיח
- At
- המתקפות
- בדיקה
- אוטומטי
- אוטומציה
- מבוסס
- BE
- היה
- לפני
- להיות
- הטוב ביותר
- שיטות עבודה מומלצות
- לִבנוֹת
- בניית אמון
- בונה
- אבל
- by
- CA
- CAN
- מְרוּכָּז
- תעודה
- תעודות
- שרשרת
- שינויים
- מעגל
- ענן
- קוד
- ביקורת קוד
- מגיע
- Common
- חברות
- חברה
- השוואה
- מורכבות
- תואם
- פשרה
- התפשר
- מתפשר
- מכולות
- רציף
- לִשְׁלוֹט
- נוחות
- עלות
- יוצר
- הקריטריונים
- קריפטוגרפי
- לְהַגדִיר
- הגדרה
- דרישות
- פריסה
- מפתח
- מפתחים
- צעצועי התפתחות
- צוותי פיתוח
- התקנים
- אחר
- דיגיטלי
- מופץ
- מטה
- בקלות
- מבטל
- לצאת לדרך
- לאפשר
- לאכוף
- אַכִיפָה
- שיפור
- לְהַבטִיחַ
- מִפְעָל
- אֲפִילוּ
- הוצאת להורג
- תפוגה
- מאריך
- מעטים
- קבצים
- סופי
- בעד
- פוֹרוּם
- החל מ-
- מלא
- לְהַשִׂיג
- לתת
- גלוֹבָּלִי
- טוב
- ממשל
- האקרים
- היה
- קשה
- חומרה
- אבטחת חומרה
- יש
- לעזור
- גבוה יותר
- הגבוה ביותר
- HTTPS
- ICON
- אידאל
- השפעות
- משפר
- in
- כולל
- להגדיל
- תעשייה
- תקני התעשייה
- זריקות
- משולב
- משלב
- השתלבות
- שלמות
- אל תוך
- לֹא יְסוּלֵא בְּפָּז
- IT
- שֶׁלָה
- מסע
- jpg
- מפתח
- מפתחות
- אחרון
- עוֹפֶרֶת
- לֵגִיטִימִיוּת
- רמה
- אוֹר
- מוגבל
- מגביל
- מקומי
- באופן מקומי
- ממוקם
- מיקום
- ארוך
- נראה
- מכונה
- עשוי
- בעיקר
- לתחזק
- נשמר
- שמירה
- תחזוקה
- לעשות
- תוכנות זדוניות
- לנהל
- ניהול
- מנדטים
- רב
- מיפוי
- בוגר
- אמצעים
- שימוש לרעה
- לְחַדֵשׁ
- מודולים
- צג
- פיקוח
- יותר
- מספר
- הכרחי
- צורך
- חדש
- חדשות
- עַכשָׁיו
- of
- המיוחדות שלנו
- on
- ONE
- רק
- לפתוח
- or
- ארגונים
- אחר
- אחרים
- שֶׁלוֹ
- לסלול
- הרשאות
- צינור
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- מדיניות
- פרקטיקות
- למנוע
- עדיפות
- פְּרָטִי
- מפתחות פרטיים
- תהליך
- תהליכים
- קידום
- להגן
- מוּגָן
- לספק
- סיבות
- לאחרונה
- שיא
- ללא קשר
- באופן קבוע
- להסדיר
- שוחרר
- עיתונות
- שחרור
- להשאר
- מרחוק
- גישה מרחוק
- מאגר
- לבקש
- דרישות
- דורש
- סקירה
- הסיכון
- בצורה חלקה
- לבטח
- אבטחה
- מדיניות אבטחה
- נפרד
- שרת
- שרתים
- סט
- חֲתִימָה
- חתימות
- חָתוּם
- חתימה
- מפשט
- since
- מידה
- להאט
- תוכנה
- פיתוח תוכנה
- שרשרת אספקת תוכנה
- פִּתָרוֹן
- מָקוֹר
- קוד מקור
- מְהִירוּת
- נקודות
- סגל
- התמחות
- תקנים
- עוד
- חנות
- אסטרטגיות
- זִרמִי
- חזק
- מִבְנֶה
- כזה
- לספק
- שרשרת אספקה
- תמיכה
- תומך
- בטוח
- לקחת
- נבחרת
- צוותי
- זֶה
- השמיים
- המקור
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- הֵם
- זֶה
- שְׁלוֹשָׁה
- דרך
- זמן
- ל
- היום
- כלים
- מופעל
- סומך
- מהימן
- סוג
- לא מורשה
- ייחודי
- אלא אם כן
- נוֹהָג
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- באמצעות
- מגוון
- לאמת
- ראות
- פגיעויות
- רוצה
- היה
- דֶרֶך..
- טוֹב
- בזמן
- מי
- למה
- עם
- לְלֹא
- זרימות עבודה
- עוֹלָם
- שנים
- זפירנט
