COMENTARIU
Vestea recentă că hackerii au încălcat compania de soluții de acces la distanță AnyDesk a aruncat o lumină dură asupra necesității companiilor de a analiza practicile de semnare a codurilor pentru a asigura un lanț de aprovizionare software mai sigur.
Semnarea codului adaugă o semnătură digitală software-ului, firmware-ului sau aplicațiilor care asigură că codul utilizatorului provine dintr-o sursă de încredere și nu a fost modificat de la ultima semnare. Dar semnarea codului este la fel de bună ca și execuția sa, iar practicile inadecvate pot duce la injecții de malware, la falsificarea codului și a software-ului și la atacuri de uzurpare a identității.
Cheile private trebuie protejate, dar mulți dezvoltatori (în principal din motive de comoditate) își păstrează propriile chei și le stochează în mașinile lor locale sau construiesc servere. Acest lucru îi lasă expuși furtului și utilizării abuzive și creează puncte oarbe pentru echipele de securitate.
În urma Hack SolarWinds în 2020, Forumul Autorității de Certificare/Browser (CA/B) a lansat un nou set de cerințele de bază pentru menținerea certificatelor de semnare a codului care impun utilizarea modulelor de securitate hardware (HSM), dispozitivelor care întrețin și securizează cheile criptografice, precum și alte măsuri de protecție a cheilor private.
HSM-urile oferă cel mai înalt nivel de securitate, dar cresc, de asemenea, costurile, complexitatea și cerințele de întreținere. Dacă nu pot fi integrate în instrumentele de semnare a codului utilizate de echipa DevOps, deconectarea poate complica accesul la semnarea codului și poate încetini procesul.
Migrarea către cloud a făcut ca securitatea să fie o prioritate mai mare, dar cloud-ul oferă și o soluție pentru semnarea codului. Semnarea codurilor în cloud și HSM-urile pot oferi viteza și agilitatea pe care le doresc dezvoltatorii, precum și control centralizat care sprijină echipele de dezvoltare distribuite, se integrează în procesele de dezvoltare și poate fi monitorizat mai ușor de securitate.
Călătoria către semnarea codului integrat
Cu modificările recente de la Forumul CA / B, este timpul ca organizațiile să se angajeze într-o călătorie pentru a-și moderniza semnarea codului cu control centralizat pentru a sprijini echipele de dezvoltare. Multe companii rămân în etapa „ad-hoc”, în care cheile sunt menținute la nivel local, iar dezvoltatorii folosesc o varietate de procese și instrumente de semnare a codului. Alții au control centralizat pentru a oferi echipelor de securitate vizibilitate și guvernare prin utilizarea HSM-urilor pentru a securiza cheile, dar utilizarea instrumentelor separate de semnare a codului încă afectează viteza dezvoltării software.
Structura ideală și matură necesită o integrare a securității cheilor, a instrumentelor de semnare a codului și a fluxurilor de lucru de dezvoltare pentru a face procesul fluid și simplificat în toate versiunile, containerele, artefactele și executabilele. Echipele de securitate gestionează HSM-urile și obțin vizibilitate deplină asupra semnării codului, în timp ce dezvoltatorii au acum un canal de dezvoltare agil și rapid.
Câteva bune practici pot ajuta la deschiderea drumului în această călătorie:
-
Asigurați-vă cheile: Stocați cheile de semnare a codului într-o locație sigură, cum ar fi un HSM care respectă cerințele criptografice CA/B Forum (FIPS 140-2 Nivel 2 sau Common Criteria EAL 4+). HSM-urile sunt rezistente la falsificare și împiedică exportul cheilor private.
-
Controlul accesului: Reduceți la minimum riscul accesului neautorizat și al utilizării greșite a cheilor private prin limitarea accesului prin controlul accesului bazat pe roluri. Definiți fluxurile de lucru de aprobare și aplicați politicile de securitate pentru a reglementa accesul numai personalului necesar și mențineți jurnalele de audit care înregistrează cine a declanșat cererea de semnare, cine a accesat cheile și de ce.
-
Rotiți tastele: Dacă o cheie este compromisă, toate versiunile semnate cu aceasta sunt expuse riscului de compromis. Rotiți cheile de semnare a codului în mod regulat și utilizați chei unice și separate pentru a semna versiuni diferite în mai multe echipe DevOps.
-
Cod marcaj de timp: Certificatele de semnare a codului au o durată de viață limitată - unul până la trei ani și se micșorează. Codul de marcare temporală în timpul semnării poate verifica legitimitatea unei semnături chiar și după ce certificatul a expirat sau a fost revocat, extinzând încrederea codului și software-ului semnat.
-
Verificați integritatea codului: Efectuați o revizuire completă a codului înainte de a semna și de a lansa versiunea finală, comparând codul din serverul de compilare cu depozitul de cod sursă și verificați toate semnăturile dezvoltatorului pentru a vă asigura că nu sunt falsificate.
-
Centralizarea managementului: Afacerile de astăzi sunt globale. Un proces centralizat de semnare a codului poate ajuta la monitorizarea activităților de semnare și a certificatelor în întreaga întreprindere, indiferent de locul în care se află dezvoltatorii. Îmbunătățește vizibilitatea, crește responsabilitatea și elimină vulnerabilitățile de securitate.
-
Aplicați politicile: Standardizați procesul de semnare a codului prin definirea și maparea politicilor, inclusiv permisiunile de utilizare a cheilor, aprobările, expirarea cheii, tipul CA, dimensiunea cheii, tipul algoritmului de semnare și multe altele. Automatizați aplicarea politicilor pentru a vă asigura că toate codurile, fișierele și software-ul sunt semnate pe baza politicii și sunt conforme cu standardele din industrie.
-
Simplificați semnarea codului: Integrarea și automatizarea semnării codului cu instrumente CI/CD simplifică procesul pentru DevOps fără a compromite securitatea, promovând în același timp viteza și agilitatea.
Într-o lume de integrare continuă și implementare continuă, cele mai bune practici puternice de semnare a codului oferă o modalitate neprețuită de a construi încrederea în procesul de dezvoltare și de a permite un lanț de aprovizionare software mai sigur.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
- :are
- :este
- :Unde
- 10
- 11
- 12
- 13
- 19
- 2020
- 7
- 8
- 9
- a
- acces
- accesate
- responsabilitate
- peste
- activităţi de
- Ad
- Adaugă
- După
- agil
- Algoritmul
- TOATE
- de asemenea
- an
- și
- aplicatii
- aprobare
- aprobări
- SUNT
- AS
- , asigura
- At
- Atacuri
- de audit
- automatizarea
- automatizarea
- bazat
- BE
- fost
- înainte
- fiind
- CEL MAI BUN
- Cele mai bune practici
- construi
- a cladi increderea
- construiește
- dar
- by
- CA
- CAN
- centralizat
- certificat
- Certificatele
- lanţ
- Modificări
- Cerc
- Cloud
- cod
- Revizuire a Codului
- venire
- Comun
- Companii
- companie
- compararea
- complexitate
- conforme
- compromis
- compromis
- compromisor
- Containere
- continuu
- Control
- comoditate
- A costat
- creează
- Criteriile de
- criptografic
- defini
- definire
- cererile
- desfășurarea
- Dezvoltator
- Dezvoltatorii
- Dezvoltare
- echipe de dezvoltare
- Dispozitive
- diferit
- digital
- distribuite
- jos
- cu ușurință
- elimină
- Îmbarce
- permite
- aplica
- executare
- consolidarea
- asigura
- Afacere
- Chiar
- execuție
- expirare
- extindere
- puțini
- Fişiere
- final
- Pentru
- forum
- din
- Complet
- Câştig
- Da
- Caritate
- bine
- guvernare
- hackeri
- HAD
- Greu
- Piese metalice
- Securitate hardware
- Avea
- ajutor
- superior
- cea mai mare
- HTTPS
- ICON
- ideal
- Impacturi
- îmbunătăţeşte
- in
- Inclusiv
- Crește
- industrie
- standardele industriei
- preparate injectabile
- integrate
- integreaza
- integrare
- integritate
- în
- neprețuit
- IT
- ESTE
- călătorie
- jpg
- Cheie
- chei
- Nume
- conduce
- legitimitate
- Nivel
- ușoară
- Limitat
- limitativ
- local
- la nivel local
- situat
- locaţie
- Lung
- Uite
- Masini
- făcut
- mai ales
- menține
- menținut
- Mentine
- întreținere
- face
- malware
- administra
- administrare
- mandate
- multe
- cartografiere
- matur
- măsuri
- folosire greșită
- moderniza
- Module
- monitor
- monitorizate
- mai mult
- multiplu
- necesar
- Nevoie
- Nou
- ştiri
- acum
- of
- promoții
- on
- ONE
- afară
- deschide
- or
- organizații
- Altele
- Altele
- propriu
- Pave
- permisiuni
- conducte
- Plato
- Informații despre date Platon
- PlatoData
- Politicile
- Politica
- practicile
- împiedica
- prioritate
- privat
- Cheile private
- proces
- procese
- Promovarea
- proteja
- protejat
- furniza
- motive
- recent
- record
- Fără deosebire
- regulat
- Reglementa
- eliberat
- Lansări
- eliberarea
- rămâne
- la distanta
- acces de la distanță
- depozit
- solicita
- Cerinţe
- Necesită
- revizuiască
- Risc
- fără sudură
- sigur
- securitate
- politicile de securitate
- distinct
- serverul
- Servere
- set
- semnătură
- Semnături
- semnat
- semnare
- Simplifică
- întrucât
- Mărimea
- încetini
- Software
- de dezvoltare de software
- lanțul de aprovizionare cu software
- soluţie
- Sursă
- cod sursă
- viteză
- pete
- Personal
- Etapă
- standarde
- Încă
- stoca
- strategii
- raționalizate
- puternic
- structura
- astfel de
- livra
- lanțului de aprovizionare
- a sustine
- Sprijină
- sigur
- Lua
- echipă
- echipe
- acea
- Sursa
- furt
- lor
- Lor
- ei
- acest
- trei
- Prin
- timp
- la
- astăzi
- Unelte
- a declanșat
- Încredere
- de încredere
- tip
- neautorizat
- unic
- dacă nu
- Folosire
- utilizare
- utilizat
- Utilizator
- folosind
- varietate
- verifica
- vizibilitate
- Vulnerabilitățile
- vrea
- a fost
- Cale..
- BINE
- în timp ce
- OMS
- de ce
- cu
- fără
- fluxuri de lucru
- lume
- ani
- Ta
- zephyrnet
