解説
ハッカーがリモートアクセスソリューション会社に侵入したという最近のニュース AnyDesk より安全なソフトウェア サプライ チェーンを確保するために、企業がコード署名の実践を長期にわたって厳しく検討する必要性を厳しい光で照らしました。
コード署名は、ソフトウェア、ファームウェア、またはアプリケーションにデジタル署名を追加し、ユーザー コードが信頼できるソースからのものであり、最後に署名されてから改ざんされていないことを保証します。しかし、コード署名はその実行が重要であり、不適切に実行すると、マルウェアの挿入、コードやソフトウェアの改ざん、なりすまし攻撃につながる可能性があります。
秘密キーは保護する必要がありますが、多くの開発者は (主に利便性の理由から) 独自の秘密キーを保持し、ローカル マシンに保存したり、サーバーを構築したりしています。これにより、盗難や悪用の危険にさらされ、セキュリティ チームにとって死角が生じます。
以下 SolarWindsハック 2020 年に、認証局/ブラウザ (CA/B) フォーラムは新しいセットをリリースしました。 ベースライン要件 ハードウェア セキュリティ モジュール (HSM)、暗号キーを維持および保護するデバイス、および秘密キーを保護するためのその他の手段の使用を義務付けるコード署名証明書を維持するため。
HSM は最高レベルのセキュリティを提供しますが、コスト、複雑さ、メンテナンスの要求も増加します。これらを DevOps チームが使用するコード署名ツールに統合できない限り、切断によりコード署名へのアクセスが複雑になり、プロセスが遅くなる可能性があります。
クラウドへの移行によりセキュリティの優先順位が高くなりましたが、クラウドはコード署名のソリューションも提供します。クラウド コード署名と HSM は、開発者が望むスピードと機敏性を提供するだけでなく、分散した開発チームをサポートし、開発プロセスに統合し、セキュリティによってより簡単に監視できる一元管理を提供します。
統合コード署名への旅
最近の変更により、 CA / Bフォーラム組織は、開発チームをサポートするために一元管理を使用してコード署名を最新化する取り組みに着手する時期が来ています。多くの企業は依然として「アドホック」段階にあり、キーはローカルで管理され、開発者はさまざまなコード署名プロセスとツールを使用します。他の企業は、HSM を使用してキーを保護することでセキュリティ チームに可視性とガバナンスを提供する集中管理を行っていますが、個別のコード署名ツールを使用することは依然としてソフトウェア開発の速度に影響を与えます。
理想的な成熟した構造には、すべてのビルド、コンテナ、アーティファクト、実行可能ファイルにわたってプロセスをシームレスかつ合理化するために、主要なセキュリティ、コード署名ツール、開発ワークフローを統合する必要があります。セキュリティ チームは HSM を管理し、コード署名を完全に可視化できる一方、開発者は機敏でスピーディな開発パイプラインを手に入れることができます。
いくつかのベスト プラクティスが、この旅への道を切り開くのに役立ちます。
-
鍵を保護します。 コード署名キーは、CA/B フォーラムの暗号化要件 (FIPS 140-2 レベル 2 または Common Criteria EAL 4+) に準拠する HSM などの安全な場所に保管します。 HSM は改ざん防止機能があり、秘密キーがエクスポートされるのを防ぎます。
-
アクセスの制御: ロールベースのアクセス制御を通じてアクセスを制限することで、不正アクセスや秘密キーの悪用のリスクを最小限に抑えます。承認ワークフローを定義し、セキュリティ ポリシーを適用して必要なスタッフのみへのアクセスを規制し、誰が署名要求をトリガーしたか、誰がキーにアクセスしたか、およびその理由を記録する監査ログを維持します。
-
キーを回転します: 1 つのキーが侵害されると、そのキーで署名されたすべてのリリースが侵害される危険にさらされます。コード署名キーを定期的にローテーションし、複数の DevOps チーム間で異なるリリースに署名するために一意の個別のキーを使用します。
-
タイムスタンプコード: コード署名証明書の有効期間は限られており、1 ~ 3 年と短くなります。コードに署名するときにタイムスタンプを付けると、証明書の有効期限が切れたり失効した後でも署名の正当性を検証でき、署名されたコードとソフトウェアの信頼性が高まります。
-
コードの整合性をチェックします。 最終ビルドに署名してリリースする前に、ビルド サーバー内のコードとソース コード リポジトリを比較して完全なコード レビューを実行し、すべての開発者の署名を検証して改ざんされていないことを確認します。
-
一元管理: 今日のビジネスはグローバルです。一元化されたコード署名プロセスは、開発者の所在地に関係なく、企業全体の署名アクティビティと証明書を監視するのに役立ちます。これにより、可視性が向上し、説明責任が確立され、セキュリティの脆弱性が排除されます。
-
ポリシーを適用します。 キーの使用許可、承認、キーの有効期限、CA の種類、キーのサイズ、署名アルゴリズムの種類などのポリシーを定義およびマッピングすることで、コード署名プロセスを標準化します。ポリシーの適用を自動化して、すべてのコード、ファイル、ソフトウェアがポリシーに基づいて署名され、業界標準に準拠していることを保証します。
-
コード署名を簡素化します。 コード署名を CI/CD ツールと統合および自動化することで、セキュリティを損なうことなく DevOps のプロセスを簡素化し、スピードと俊敏性を促進します。
継続的インテグレーションと継続的デプロイメントの世界では、強力なコード署名のベスト プラクティスは、開発プロセスにおける信頼を構築し、より安全なソフトウェア サプライ チェーンを可能にする貴重な方法を提供します。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
- :持っている
- :は
- :どこ
- 10
- 11
- 12
- 13
- 19
- 2020
- 7
- 8
- 9
- a
- アクセス
- アクセス
- 説明責任
- 越えて
- 活動
- Ad
- 追加
- 後
- 使い勝手のいい
- アルゴリズム
- すべて
- また
- an
- および
- 承認
- 承認
- です
- AS
- 保証する
- At
- 攻撃
- 監査
- 自動化する
- 自動化する
- ベース
- BE
- き
- さ
- BEST
- ベストプラクティス
- ビルド
- 信頼を築く
- 構築します
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- CA
- 缶
- 集中型の
- 証明書
- 証明書
- チェーン
- 変更
- サークル
- クラウド
- コード
- コードレビュー
- 到来
- コマンドと
- 企業
- 会社
- 比較
- 複雑さ
- 準拠した
- 妥協
- 損害を受けた
- 妥協する
- コンテナ
- 連続的な
- コントロール
- 利便性
- 費用
- 作成します。
- 基準
- 暗号
- 定義します
- 定義
- 需要
- 展開
- Developer
- 開発者
- 開発
- 開発チーム
- Devices
- 異なります
- デジタル
- 配布
- ダウン
- 簡単に
- 排除
- 乗り出す
- enable
- 強制します
- 執行
- 強化
- 確保
- Enterprise
- さらに
- 実行
- 満了
- 延伸
- 少数の
- ファイナル
- フォーラム
- から
- フル
- 利得
- 与える
- グローバル
- 良い
- ガバナンス
- ハッカー
- 持っていました
- ハード
- Hardware
- ハードウェア・セキュリティ
- 持ってる
- 助けます
- より高い
- 最高
- HTTPS
- ICON
- 理想
- 影響
- 向上させる
- in
- 含めて
- 増える
- 産業を変えます
- 業界標準
- 注射
- 統合された
- 統合する
- 統合
- 整合性
- に
- 貴重な
- IT
- ITS
- 旅
- JPG
- キー
- キー
- 姓
- つながる
- 合法性
- レベル
- 光
- 限定的
- 制限する
- ローカル
- 局部的に
- 位置して
- 場所
- 長い
- 見て
- マシン
- 製
- 主に
- 維持する
- 維持
- 保守
- メンテナンス
- make
- マルウェア
- 管理します
- 管理
- 委任
- 多くの
- マッピング
- 成熟した
- 措置
- 誤用
- 近代化します
- モジュール
- モニター
- 監視対象
- 他には?
- の試合に
- 必要
- 必要
- 新作
- ニュース
- 今
- of
- オファー
- on
- ONE
- の
- 開いた
- or
- 組織
- その他
- その他
- 自分の
- 舗装する
- パーミッション
- パイプライン
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポリシー
- 方針
- プラクティス
- 防ぐ
- 優先順位
- プライベート
- 秘密鍵
- プロセス
- ラボレーション
- 推進
- 守る
- 保護された
- 提供します
- 理由は
- 最近
- 記録
- 関係なく
- 定期的に
- 規制する
- リリース
- リリース
- 解放
- 残る
- リモート
- リモートアクセス
- 倉庫
- 要求
- 要件
- 必要
- レビュー
- リスク
- シームレス
- 安全に
- セキュリティ
- セキュリティポリシー
- 別
- サーバー
- セッションに
- 署名
- 署名
- 署名されました
- 署名
- 簡素化する
- から
- サイズ
- 遅く
- ソフトウェア
- ソフトウェア開発
- ソフトウェアサプライチェーン
- 溶液
- ソース
- ソースコード
- スピード
- 斑
- スタッフ
- ステージ
- 規格
- まだ
- 店舗
- 作戦
- 合理化された
- 強い
- 構造
- そのような
- 供給
- サプライチェーン
- サポート
- サポート
- 確か
- 取る
- チーム
- チーム
- それ
- ソース
- 盗難
- アプリ環境に合わせて
- それら
- 彼ら
- この
- 三
- 介して
- 時間
- 〜へ
- 今日
- 豊富なツール群
- トリガ
- 信頼
- 信頼されている
- type
- 無許可
- ユニーク
- ない限り、
- 使用法
- つかいます
- 中古
- ユーザー
- 多様
- 確認する
- 視認性
- 脆弱性
- 欲しいです
- ました
- 仕方..
- WELL
- while
- 誰
- なぜ
- 無し
- ワークフロー
- 世界
- 年
- あなたの
- ゼファーネット