COMMENTARY
ข่าวล่าสุดที่แฮกเกอร์ได้ละเมิดบริษัทโซลูชั่นการเข้าถึงระยะไกล AnyDesk ให้ความกระจ่างชัดถึงความจำเป็นที่บริษัทต่างๆ จะต้องพิจารณาแนวทางปฏิบัติในการลงนามโค้ดอย่างจริงจังและยาวนาน เพื่อช่วยรับประกันห่วงโซ่อุปทานซอฟต์แวร์ที่ปลอดภัยยิ่งขึ้น
การลงนามโค้ดจะเพิ่มลายเซ็นดิจิทัลให้กับซอฟต์แวร์ เฟิร์มแวร์ หรือแอปพลิเคชันที่รับรองว่าโค้ดผู้ใช้นั้นมาจากแหล่งที่เชื่อถือได้ และไม่มีการเปลี่ยนแปลงใดๆ นับตั้งแต่ลงนามครั้งล่าสุด แต่การลงนามโค้ดจะดีพอๆ กับการดำเนินการเท่านั้น และการปฏิบัติที่ไม่เพียงพออาจนำไปสู่การฉีดมัลแวร์ การดัดแปลงโค้ดและซอฟต์แวร์ และการโจมตีด้วยการแอบอ้างบุคคลอื่น
คีย์ส่วนตัวจำเป็นต้องได้รับการปกป้อง แต่นักพัฒนาจำนวนมาก (ด้วยเหตุผลด้านความสะดวกเป็นหลัก) ดูแลรักษาคีย์ส่วนตัวและจัดเก็บไว้ในเครื่องภายในเครื่องหรือสร้างเซิร์ฟเวอร์ สิ่งนี้ทำให้พวกเขาเปิดรับการโจรกรรมและการใช้งานในทางที่ผิด และสร้างจุดบอดสำหรับทีมรักษาความปลอดภัย
ต่อไปนี้ แฮ็ค SolarWinds ในปี 2020 ฟอรัมผู้ออกใบรับรอง/เบราว์เซอร์ (CA/B) ได้เปิดตัวชุดใหม่ของ ข้อกำหนดพื้นฐาน สำหรับการบำรุงรักษาใบรับรองการลงนามโค้ดที่บังคับใช้โมดูลความปลอดภัยของฮาร์ดแวร์ (HSM) อุปกรณ์ที่ดูแลรักษาและรักษาความปลอดภัยคีย์การเข้ารหัสลับ รวมถึงมาตรการอื่น ๆ เพื่อปกป้องคีย์ส่วนตัว
HSM ให้การรักษาความปลอดภัยระดับสูงสุด แต่ยังเพิ่มต้นทุน ความซับซ้อน และความต้องการในการบำรุงรักษาอีกด้วย เว้นแต่จะสามารถรวมเข้ากับเครื่องมือการลงนามโค้ดที่ทีม DevOps ใช้ได้ การตัดการเชื่อมต่ออาจทำให้การเข้าถึงการลงนามโค้ดยุ่งยากและทำให้กระบวนการช้าลง
การย้ายข้อมูลไปยังระบบคลาวด์ทำให้การรักษาความปลอดภัยมีความสำคัญมากขึ้น แต่ระบบคลาวด์ยังเสนอโซลูชันสำหรับการลงนามโค้ดด้วย การลงนามโค้ดบนคลาวด์และ HSM สามารถมอบความเร็วและความคล่องตัวที่นักพัฒนาต้องการ เช่นเดียวกับการควบคุมแบบรวมศูนย์ที่รองรับทีมพัฒนาแบบกระจาย รวมเข้ากับกระบวนการพัฒนา และสามารถตรวจสอบได้ง่ายยิ่งขึ้นด้วยการรักษาความปลอดภัย
การเดินทางสู่การลงนามโค้ดแบบรวม
ด้วยการเปลี่ยนแปลงล่าสุดจาก CA / B ฟอรัมถึงเวลาแล้วที่องค์กรต่างๆ จะต้องเริ่มต้นการเดินทางเพื่อปรับปรุงการลงนามโค้ดให้ทันสมัยด้วยการควบคุมแบบรวมศูนย์เพื่อสนับสนุนทีมพัฒนา บริษัทหลายแห่งยังคงอยู่ในขั้นตอน “เฉพาะกิจ” โดยที่คีย์จะได้รับการดูแลภายในเครื่อง และนักพัฒนาก็ใช้กระบวนการและเครื่องมือการลงนามโค้ดที่หลากหลาย ส่วนอื่นๆ มีการควบคุมแบบรวมศูนย์เพื่อให้ทีมรักษาความปลอดภัยมองเห็นและกำกับดูแลโดยใช้ HSM เพื่อรักษาความปลอดภัยคีย์ แต่การใช้เครื่องมือลงนามโค้ดที่แยกจากกันยังคงส่งผลต่อความเร็วของการพัฒนาซอฟต์แวร์
โครงสร้างที่สมบูรณ์แบบและสมบูรณ์แบบนั้นจำเป็นต้องมีการบูรณาการการรักษาความปลอดภัยที่สำคัญ เครื่องมือการลงนามโค้ด และเวิร์กโฟลว์การพัฒนาเพื่อทำให้กระบวนการราบรื่นและมีประสิทธิภาพในทุกบิลด์ คอนเทนเนอร์ อาร์ติแฟกต์ และปฏิบัติการทั้งหมด ทีมรักษาความปลอดภัยจัดการ HSM และมองเห็นการลงนามโค้ดได้อย่างเต็มที่ ในขณะที่นักพัฒนามีขั้นตอนการพัฒนาที่คล่องตัวและรวดเร็ว
แนวทางปฏิบัติที่ดีที่สุดบางประการสามารถช่วยปูทางในการเดินทางครั้งนี้:
-
รักษาความปลอดภัยกุญแจของคุณ: จัดเก็บคีย์การลงนามโค้ดในตำแหน่งที่ปลอดภัย เช่น HSM ที่สอดคล้องกับข้อกำหนดการเข้ารหัสของ CA/B Forum (FIPS 140-2 ระดับ 2 หรือ Common Criteria EAL 4+) HSM ป้องกันการงัดแงะ และป้องกันไม่ให้คีย์ส่วนตัวถูกส่งออก
-
ควบคุมการเข้าถึง: ลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาตและการใช้คีย์ส่วนตัวในทางที่ผิดโดยการจำกัดการเข้าถึงผ่านการควบคุมการเข้าถึงตามบทบาท กำหนดเวิร์กโฟลว์การอนุมัติและบังคับใช้นโยบายความปลอดภัยเพื่อควบคุมการเข้าถึงเฉพาะเจ้าหน้าที่ที่จำเป็นเท่านั้น และรักษาบันทึกการตรวจสอบที่บันทึกว่าใครเป็นผู้ส่งคำขอลงนาม ใครเข้าถึงกุญแจ และเหตุผล
-
ปุ่มหมุน: หากคีย์หนึ่งถูกบุกรุก การเปิดตัวทั้งหมดที่ลงนามด้วยคีย์นั้นมีความเสี่ยงที่จะถูกบุกรุก หมุนเวียนคีย์การลงนามโค้ดเป็นประจำ และใช้คีย์เฉพาะและแยกกันสำหรับการลงนามรุ่นต่างๆ ในทีม DevOps หลายทีม
-
รหัสประทับเวลา: ใบรับรองการลงนามโค้ดมีอายุการใช้งานที่จำกัด — หนึ่งถึงสามปีและกำลังหดตัว รหัสประทับเวลาในขณะที่ลงนามสามารถตรวจสอบความถูกต้องของลายเซ็นได้แม้ว่าใบรับรองจะหมดอายุหรือถูกเพิกถอนก็ตาม ซึ่งช่วยเพิ่มความไว้วางใจให้กับรหัสและซอฟต์แวร์ที่ลงนามแล้ว
-
ตรวจสอบความสมบูรณ์ของรหัส: ดำเนินการตรวจสอบโค้ดแบบเต็มก่อนที่จะลงนามและเผยแพร่บิลด์สุดท้ายโดยการเปรียบเทียบโค้ดในเซิร์ฟเวอร์บิลด์กับที่เก็บซอร์สโค้ด และตรวจสอบลายเซ็นของนักพัฒนาทั้งหมดเพื่อให้แน่ใจว่าไม่มีการดัดแปลง
-
รวมศูนย์การจัดการ: ธุรกิจในปัจจุบันมีทั่วโลก กระบวนการลงนามรหัสแบบรวมศูนย์สามารถช่วยตรวจสอบกิจกรรมการลงนามและใบรับรองทั่วทั้งองค์กร ไม่ว่านักพัฒนาจะอยู่ที่ใดก็ตาม ปรับปรุงการมองเห็น สร้างความรับผิดชอบ และขจัดช่องโหว่ด้านความปลอดภัย
-
บังคับใช้นโยบาย: สร้างมาตรฐานของกระบวนการลงนามโค้ดโดยการกำหนดและแมปนโยบาย รวมถึงการอนุญาตการใช้งานคีย์ การอนุมัติ การหมดอายุของคีย์ ประเภท CA ขนาดคีย์ ประเภทอัลกอริทึมการเซ็นชื่อ และอื่นๆ บังคับใช้นโยบายโดยอัตโนมัติเพื่อให้แน่ใจว่าโค้ด ไฟล์ และซอฟต์แวร์ทั้งหมดได้รับการลงนามตามนโยบายและสอดคล้องกับมาตรฐานอุตสาหกรรม
-
ลดความซับซ้อนของการเซ็นโค้ด: การรวมและทำให้การเซ็นโค้ดเป็นอัตโนมัติด้วยเครื่องมือ CI/CD ช่วยลดความซับซ้อนของกระบวนการสำหรับ DevOps โดยไม่กระทบต่อความปลอดภัย ในขณะเดียวกันก็ส่งเสริมความเร็วและความคล่องตัว
ในโลกของการบูรณาการอย่างต่อเนื่องและการปรับใช้อย่างต่อเนื่อง แนวปฏิบัติที่ดีที่สุดในการเซ็นชื่อโค้ดที่แข็งแกร่งมอบวิธีอันล้ำค่าในการสร้างความไว้วางใจในกระบวนการพัฒนาและเปิดใช้งานห่วงโซ่อุปทานซอฟต์แวร์ที่ปลอดภัยยิ่งขึ้น
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
- :มี
- :เป็น
- :ที่ไหน
- 10
- 11
- 12
- 13
- 19
- 2020
- 7
- 8
- 9
- a
- เข้า
- Accessed
- ความรับผิดชอบ
- ข้าม
- กิจกรรม
- Ad
- เพิ่ม
- หลังจาก
- เปรียว
- ขั้นตอนวิธี
- ทั้งหมด
- ด้วย
- an
- และ
- การใช้งาน
- การอนุมัติ
- ได้รับการอนุมัติ
- เป็น
- AS
- มีประกัน
- At
- การโจมตี
- การตรวจสอบบัญชี
- โดยอัตโนมัติ
- โดยอัตโนมัติ
- ตาม
- BE
- รับ
- ก่อน
- กำลัง
- ที่ดีที่สุด
- ปฏิบัติที่ดีที่สุด
- สร้าง
- สร้างความไว้วางใจ
- สร้าง
- แต่
- by
- CA
- CAN
- ส่วนกลาง
- ใบรับรอง
- ใบรับรอง
- โซ่
- การเปลี่ยนแปลง
- วงกลม
- เมฆ
- รหัส
- ตรวจสอบรหัส
- มา
- ร่วมกัน
- บริษัท
- บริษัท
- เปรียบเทียบ
- ความซับซ้อน
- ไม่ขัดขืน
- การประนีประนอม
- ที่ถูกบุกรุก
- ประนีประนอม
- ภาชนะบรรจุ
- ต่อเนื่องกัน
- ควบคุม
- ความสะดวกสบาย
- ราคา
- สร้าง
- เกณฑ์
- การเข้ารหัสลับ
- กำหนด
- การกำหนด
- ความต้องการ
- การใช้งาน
- ผู้พัฒนา
- นักพัฒนา
- พัฒนาการ
- ทีมพัฒนา
- อุปกรณ์
- ต่าง
- ดิจิตอล
- กระจาย
- ลง
- อย่างง่ายดาย
- ขจัด
- เริ่มดำเนินการ
- ทำให้สามารถ
- บังคับใช้
- การบังคับใช้
- การเสริมสร้าง
- ทำให้มั่นใจ
- Enterprise
- แม้
- การปฏิบัติ
- หมดอายุ
- การขยาย
- สองสาม
- ไฟล์
- สุดท้าย
- สำหรับ
- ฟอรั่ม
- ราคาเริ่มต้นที่
- เต็ม
- ได้รับ
- ให้
- เหตุการณ์ที่
- ดี
- การกำกับดูแล
- แฮกเกอร์
- มี
- ยาก
- ฮาร์ดแวร์
- การรักษาความปลอดภัยฮาร์ดแวร์
- มี
- ช่วย
- สูงกว่า
- ที่สูงที่สุด
- HTTPS
- ICON
- ในอุดมคติ
- ผลกระทบ
- ช่วยเพิ่ม
- in
- รวมทั้ง
- เพิ่ม
- อุตสาหกรรม
- มาตรฐานอุตสาหกรรม
- ฉีด
- แบบบูรณาการ
- รวม
- บูรณาการ
- ความสมบูรณ์
- เข้าไป
- ล้ำค่า
- IT
- ITS
- การเดินทาง
- jpg
- คีย์
- กุญแจ
- ชื่อสกุล
- นำ
- ถูกต้องตามกฎหมาย
- ชั้น
- เบา
- ถูก จำกัด
- การ จำกัด
- ในประเทศ
- ในท้องถิ่น
- ที่ตั้งอยู่
- ที่ตั้ง
- นาน
- ดู
- เครื่อง
- ทำ
- ส่วนใหญ่
- เก็บรักษา
- การบำรุงรักษา
- การบำรุงรักษา
- การบำรุงรักษา
- ทำ
- มัลแวร์
- จัดการ
- การจัดการ
- เอกสาร
- หลาย
- การทำแผนที่
- เป็นผู้ใหญ่
- มาตรการ
- ด่าว่า
- ทันสมัย
- โมดูล
- การตรวจสอบ
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- หลาย
- จำเป็น
- จำเป็นต้อง
- ใหม่
- ข่าว
- ตอนนี้
- of
- เสนอ
- on
- ONE
- เพียง
- เปิด
- or
- องค์กร
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- ของตนเอง
- ปู
- รูปแบบไฟล์ PDF
- สิทธิ์
- ท่อ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นโยบาย
- นโยบาย
- การปฏิบัติ
- ป้องกัน
- ลำดับความสำคัญ
- ส่วนตัว
- คีย์ส่วนตัว
- กระบวนการ
- กระบวนการ
- การส่งเสริม
- ป้องกัน
- การป้องกัน
- ให้
- เหตุผล
- เมื่อเร็ว ๆ นี้
- ระเบียน
- ไม่คำนึงถึง
- สม่ำเสมอ
- ควบคุม
- การเผยแพร่
- สัมพันธ์
- การปล่อย
- ยังคง
- รีโมท
- การเข้าถึงระยะไกล
- กรุ
- ขอ
- ความต้องการ
- ต้อง
- ทบทวน
- ความเสี่ยง
- ไร้รอยต่อ
- ปลอดภัย
- ความปลอดภัย
- นโยบายความปลอดภัย
- แยก
- เซิร์ฟเวอร์
- เซิร์ฟเวอร์
- ชุด
- ลายเซ็น
- ลายเซ็น
- ลงนาม
- การลงชื่อ
- ช่วยลดความยุ่งยาก
- ตั้งแต่
- ขนาด
- ช้า
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- ห่วงโซ่อุปทานซอฟต์แวร์
- ทางออก
- แหล่ง
- รหัสแหล่งที่มา
- ความเร็ว
- จุด
- ทักษะ
- ระยะ
- มาตรฐาน
- ยังคง
- จัดเก็บ
- กลยุทธ์
- คล่องตัว
- แข็งแรง
- โครงสร้าง
- อย่างเช่น
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- สนับสนุน
- รองรับ
- แน่ใจ
- เอา
- ทีม
- ทีม
- ที่
- พื้นที่
- ที่มา
- การโจรกรรม
- ของพวกเขา
- พวกเขา
- พวกเขา
- นี้
- สาม
- ตลอด
- เวลา
- ไปยัง
- ในวันนี้
- เครื่องมือ
- ทริกเกอร์
- วางใจ
- ที่เชื่อถือ
- ชนิด
- ไม่มีสิทธิ
- เป็นเอกลักษณ์
- เว้นแต่
- การใช้
- ใช้
- มือสอง
- ผู้ใช้งาน
- การใช้
- ความหลากหลาย
- ตรวจสอบ
- ความชัดเจน
- ช่องโหว่
- ต้องการ
- คือ
- ทาง..
- ดี
- ในขณะที่
- WHO
- ทำไม
- กับ
- ไม่มี
- ขั้นตอนการทำงาน
- โลก
- ปี
- ของคุณ
- ลมทะเล