8 กลยุทธ์ในการเพิ่มความปลอดภัยในการลงนามโค้ด

COMMENTARY

ข่าวล่าสุดที่แฮกเกอร์ได้ละเมิดบริษัทโซลูชั่นการเข้าถึงระยะไกล AnyDesk ให้ความกระจ่างชัดถึงความจำเป็นที่บริษัทต่างๆ จะต้องพิจารณาแนวทางปฏิบัติในการลงนามโค้ดอย่างจริงจังและยาวนาน เพื่อช่วยรับประกันห่วงโซ่อุปทานซอฟต์แวร์ที่ปลอดภัยยิ่งขึ้น  

การลงนามโค้ดจะเพิ่มลายเซ็นดิจิทัลให้กับซอฟต์แวร์ เฟิร์มแวร์ หรือแอปพลิเคชันที่รับรองว่าโค้ดผู้ใช้นั้นมาจากแหล่งที่เชื่อถือได้ และไม่มีการเปลี่ยนแปลงใดๆ นับตั้งแต่ลงนามครั้งล่าสุด แต่การลงนามโค้ดจะดีพอๆ กับการดำเนินการเท่านั้น และการปฏิบัติที่ไม่เพียงพออาจนำไปสู่การฉีดมัลแวร์ การดัดแปลงโค้ดและซอฟต์แวร์ และการโจมตีด้วยการแอบอ้างบุคคลอื่น 

คีย์ส่วนตัวจำเป็นต้องได้รับการปกป้อง แต่นักพัฒนาจำนวนมาก (ด้วยเหตุผลด้านความสะดวกเป็นหลัก) ดูแลรักษาคีย์ส่วนตัวและจัดเก็บไว้ในเครื่องภายในเครื่องหรือสร้างเซิร์ฟเวอร์ สิ่งนี้ทำให้พวกเขาเปิดรับการโจรกรรมและการใช้งานในทางที่ผิด และสร้างจุดบอดสำหรับทีมรักษาความปลอดภัย  

ต่อไปนี้ แฮ็ค SolarWinds ในปี 2020 ฟอรัมผู้ออกใบรับรอง/เบราว์เซอร์ (CA/B) ได้เปิดตัวชุดใหม่ของ ข้อกำหนดพื้นฐาน สำหรับการบำรุงรักษาใบรับรองการลงนามโค้ดที่บังคับใช้โมดูลความปลอดภัยของฮาร์ดแวร์ (HSM) อุปกรณ์ที่ดูแลรักษาและรักษาความปลอดภัยคีย์การเข้ารหัสลับ รวมถึงมาตรการอื่น ๆ เพื่อปกป้องคีย์ส่วนตัว 

HSM ให้การรักษาความปลอดภัยระดับสูงสุด แต่ยังเพิ่มต้นทุน ความซับซ้อน และความต้องการในการบำรุงรักษาอีกด้วย เว้นแต่จะสามารถรวมเข้ากับเครื่องมือการลงนามโค้ดที่ทีม DevOps ใช้ได้ การตัดการเชื่อมต่ออาจทำให้การเข้าถึงการลงนามโค้ดยุ่งยากและทำให้กระบวนการช้าลง  

การย้ายข้อมูลไปยังระบบคลาวด์ทำให้การรักษาความปลอดภัยมีความสำคัญมากขึ้น แต่ระบบคลาวด์ยังเสนอโซลูชันสำหรับการลงนามโค้ดด้วย การลงนามโค้ดบนคลาวด์และ HSM สามารถมอบความเร็วและความคล่องตัวที่นักพัฒนาต้องการ เช่นเดียวกับการควบคุมแบบรวมศูนย์ที่รองรับทีมพัฒนาแบบกระจาย รวมเข้ากับกระบวนการพัฒนา และสามารถตรวจสอบได้ง่ายยิ่งขึ้นด้วยการรักษาความปลอดภัย 

การเดินทางสู่การลงนามโค้ดแบบรวม 

ด้วยการเปลี่ยนแปลงล่าสุดจาก CA / B ฟอรัมถึงเวลาแล้วที่องค์กรต่างๆ จะต้องเริ่มต้นการเดินทางเพื่อปรับปรุงการลงนามโค้ดให้ทันสมัยด้วยการควบคุมแบบรวมศูนย์เพื่อสนับสนุนทีมพัฒนา บริษัทหลายแห่งยังคงอยู่ในขั้นตอน “เฉพาะกิจ” โดยที่คีย์จะได้รับการดูแลภายในเครื่อง และนักพัฒนาก็ใช้กระบวนการและเครื่องมือการลงนามโค้ดที่หลากหลาย ส่วนอื่นๆ มีการควบคุมแบบรวมศูนย์เพื่อให้ทีมรักษาความปลอดภัยมองเห็นและกำกับดูแลโดยใช้ HSM เพื่อรักษาความปลอดภัยคีย์ แต่การใช้เครื่องมือลงนามโค้ดที่แยกจากกันยังคงส่งผลต่อความเร็วของการพัฒนาซอฟต์แวร์ 

โครงสร้างที่สมบูรณ์แบบและสมบูรณ์แบบนั้นจำเป็นต้องมีการบูรณาการการรักษาความปลอดภัยที่สำคัญ เครื่องมือการลงนามโค้ด และเวิร์กโฟลว์การพัฒนาเพื่อทำให้กระบวนการราบรื่นและมีประสิทธิภาพในทุกบิลด์ คอนเทนเนอร์ อาร์ติแฟกต์ และปฏิบัติการทั้งหมด ทีมรักษาความปลอดภัยจัดการ HSM และมองเห็นการลงนามโค้ดได้อย่างเต็มที่ ในขณะที่นักพัฒนามีขั้นตอนการพัฒนาที่คล่องตัวและรวดเร็ว 

แนวทางปฏิบัติที่ดีที่สุดบางประการสามารถช่วยปูทางในการเดินทางครั้งนี้: 

ในโลกของการบูรณาการอย่างต่อเนื่องและการปรับใช้อย่างต่อเนื่อง แนวปฏิบัติที่ดีที่สุดในการเซ็นชื่อโค้ดที่แข็งแกร่งมอบวิธีอันล้ำค่าในการสร้างความไว้วางใจในกระบวนการพัฒนาและเปิดใช้งานห่วงโซ่อุปทานซอฟต์แวร์ที่ปลอดภัยยิ่งขึ้น

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security