КОМЕНТАР
Недавні новини про те, що хакери зламали компанію, яка займається рішенням для віддаленого доступу AnyDesk пролило суворе світло на необхідність для компаній довго і ретельно вивчати практики підписання коду, щоб допомогти забезпечити більш безпечний ланцюжок постачання програмного забезпечення.
Підписання коду додає цифровий підпис до програмного забезпечення, вбудованого програмного забезпечення або програм, який гарантує, що код користувача надходить із надійного джерела та не змінюється з моменту останнього підпису. Але підписання коду настільки добре, наскільки добре його виконання, а невідповідні практики можуть призвести до ін’єкцій зловмисного програмного забезпечення, фальсифікації коду та програмного забезпечення та атак уособлення.
Приватні ключі потрібно захищати, але багато розробників (переважно з міркувань зручності) підтримують свої власні та зберігають їх на своїх локальних машинах або створюють сервери. Це робить їх відкритими для крадіжок і зловживань, а також створює сліпі зони для команд безпеки.
Після Hack SolarWinds у 2020 році Форум центру сертифікації/браузера (CA/B) випустив новий набір базові вимоги для підтримки сертифікатів підпису коду, які передбачають використання апаратних модулів безпеки (HSM), пристроїв, які зберігають і захищають криптографічні ключі, а також інших заходів для захисту приватних ключів.
HSM забезпечують найвищий рівень безпеки, але вони також збільшують вартість, складність і вимоги до обслуговування. Якщо їх не можна інтегрувати в інструменти підписання коду, які використовує команда DevOps, відключення може ускладнити доступ до підпису коду та сповільнити процес.
Перехід до хмари зробив безпеку вищим пріоритетом, але хмара також пропонує рішення для підписання коду. Підписання хмарного коду та HSM можуть забезпечити швидкість і гнучкість, які потрібні розробникам, а також централізований контроль, який підтримує розподілені команди розробників, інтегрується в процеси розробки та може легше контролюватись безпекою.
Шлях до інтегрованого підписання коду
З останніми змінами від Форум CA/B, організаціям настав час розпочати шлях модернізації підпису коду за допомогою централізованого керування для підтримки команд розробників. Багато компаній залишаються на «спеціальній» стадії, де ключі зберігаються локально, а розробники використовують різноманітні процеси та інструменти підписання коду. Інші мають централізоване керування, щоб надати групам безпеки видимість і керування за допомогою HSM для захисту ключів, але використання окремих інструментів для підписання коду все одно впливає на швидкість розробки програмного забезпечення.
Ідеальна, зріла структура вимагає інтеграції ключових засобів безпеки, інструментів підпису коду та робочих процесів розробки, щоб зробити процес бездоганним і оптимізованим для всіх збірок, контейнерів, артефактів і виконуваних файлів. Команди безпеки керують HSM і отримують повну видимість підписання коду, а розробники тепер мають гнучку та швидку систему розробки.
Кілька найкращих практик можуть допомогти прокласти шлях у цій подорожі:
-
Захистіть свої ключі: Зберігайте ключі підпису коду в безпечному місці, наприклад HSM, який відповідає криптографічним вимогам CA/B Forum (FIPS 140-2 рівень 2 або Common Criteria EAL 4+). HSM є стійкими до втручання та запобігають експорту закритих ключів.
-
Контроль доступу: Зведіть до мінімуму ризик несанкціонованого доступу та неправильного використання особистих ключів, обмеживши доступ за допомогою рольового контролю доступу. Визначайте робочі процеси затвердження та запроваджуйте політики безпеки, щоб регулювати доступ лише для необхідного персоналу, а також ведіть журнали аудиту, у яких записується, хто ініціював запит на підпис, хто отримав доступ до ключів і чому.
-
Обертання клавіш: Якщо один ключ скомпрометовано, усі випуски, підписані ним, піддаються ризику скомпрометації. Регулярно чергуйте ключі підпису коду та використовуйте унікальні й окремі ключі для підпису різних випусків у кількох командах DevOps.
-
Код позначки часу: Сертифікати кодового підпису мають обмежений термін служби — від одного до трьох років і скорочуються. Код із міткою часу під час підписання може перевірити законність підпису навіть після того, як термін дії сертифіката закінчився або його було відкликано, розширюючи довіру до підписаного коду та програмного забезпечення.
-
Перевірте цілісність коду: Виконайте повну перевірку коду перед підписанням і випуском остаточної збірки, порівнявши код на сервері збірки з репозиторієм вихідного коду, і перевірте всі підписи розробників, щоб переконатися, що вони не підроблені.
-
Централізувати управління: Сьогоднішній бізнес є глобальним. Централізований процес підписання коду може допомогти контролювати дії підпису та сертифікати в масштабах підприємства, незалежно від того, де знаходяться розробники. Це покращує видимість, підвищує підзвітність і усуває вразливі місця в безпеці.
-
Застосування політики: Стандартизуйте процес підписання коду, визначивши та зіставивши політики, зокрема дозволи на використання ключа, схвалення, термін дії ключа, тип ЦС, розмір ключа, тип алгоритму підпису тощо. Автоматизуйте застосування політики, щоб переконатися, що весь код, файли та програмне забезпечення підписані на основі політики та відповідають галузевим стандартам.
-
Спростити підпис коду: Інтеграція та автоматизація підпису коду за допомогою інструментів CI/CD спрощує процес для DevOps без шкоди для безпеки, одночасно сприяючи швидкості та гнучкості.
У світі безперервної інтеграції та безперервного розгортання ефективні передові методи підписання коду забезпечують безцінний спосіб підвищити довіру до процесу розробки та забезпечити більш безпечний ланцюг постачання програмного забезпечення.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
- : має
- :є
- :де
- 10
- 11
- 12
- 13
- 19
- 2020
- 7
- 8
- 9
- a
- доступ
- доступний
- підзвітність
- через
- діяльності
- Ad
- Додає
- після
- моторний
- алгоритм
- ВСІ
- Також
- an
- та
- застосування
- твердження
- погодження
- ЕСТЬ
- AS
- запевняє
- At
- нападки
- аудит
- автоматизувати
- автоматизація
- заснований
- BE
- було
- перед тим
- буття
- КРАЩЕ
- передового досвіду
- будувати
- побудувати довіру
- Будує
- але
- by
- CA
- CAN
- централізована
- сертифікат
- сертифікати
- ланцюг
- Зміни
- Коло
- хмара
- код
- Перегляд коду
- майбутній
- загальний
- Компанії
- компанія
- порівняння
- складність
- поступливий
- компроміс
- Компрометація
- компрометуючі
- Контейнери
- безперервний
- контроль
- зручність
- Коштувати
- створює
- Критерії
- криптографічні
- визначати
- визначаючи
- запити
- розгортання
- Розробник
- розробників
- розробка
- команди розробників
- прилади
- різний
- цифровий
- розподілений
- вниз
- легко
- Усуває
- приступати
- включіть
- примусове виконання
- примус
- підвищення
- забезпечувати
- підприємство
- Навіть
- виконання
- термін дії
- розширення
- кілька
- Файли
- остаточний
- для
- форум
- від
- Повний
- Отримувати
- Давати
- Глобальний
- добре
- управління
- хакери
- було
- Жорсткий
- апаратні засоби
- Безпека обладнання
- Мати
- допомога
- вище
- найвищий
- HTTPS
- ICON
- ідеальний
- Вплив
- поліпшується
- in
- У тому числі
- Augmenter
- промисловість
- галузеві стандарти
- ін'єкції
- інтегрований
- Інтеграція
- інтеграція
- цілісність
- в
- безцінний
- IT
- ЙОГО
- подорож
- JPG
- ключ
- ключі
- останній
- вести
- легітимність
- рівень
- світло
- обмеженою
- обмежуючий
- місцевий
- локально
- розташований
- розташування
- Довго
- подивитися
- Машинки для перманенту
- made
- головним чином
- підтримувати
- підтримується
- Підтримка
- обслуговування
- зробити
- шкідливих програм
- управляти
- управління
- мандатів
- багато
- відображення
- зрілий
- заходи
- зловживання
- модернізувати
- Модулі
- монітор
- контрольований
- більше
- множинний
- необхідно
- Необхідність
- Нові
- новини
- зараз
- of
- Пропозиції
- on
- ONE
- тільки
- відкрити
- or
- організації
- Інше
- інші
- власний
- прокладати
- Дозволи
- трубопровід
- plato
- Інформація про дані Платона
- PlatoData
- Політика
- політика
- практики
- запобігати
- пріоритет
- приватний
- Приватні ключі
- процес
- процеси
- сприяння
- захист
- захищений
- забезпечувати
- Причини
- останній
- запис
- Незалежно
- регулярно
- Регулювати
- випущений
- Релізи
- випуску
- залишатися
- віддалений
- Віддалений доступ
- Сховище
- запросити
- Вимога
- Вимагається
- огляд
- Risk
- безшовні
- безпечний
- безпеку
- політики безпеки
- окремий
- сервер
- Сервери
- комплект
- підпис
- Signatures
- підписаний
- підписання
- спрощує
- з
- Розмір
- сповільнювати
- Софтвер
- розробка програмного забезпечення
- ланцюг постачання програмного забезпечення
- рішення
- Source
- вихідні
- швидкість
- плями
- Персонал
- Стажування
- стандартів
- Як і раніше
- зберігати
- стратегії
- обтічний
- сильний
- структура
- такі
- поставка
- ланцюжка поставок
- підтримка
- Опори
- Переконайтеся
- Приймати
- команда
- команди
- Що
- Команда
- Джерело
- крадіжка
- їх
- Їх
- вони
- це
- три
- через
- час
- до
- сьогодні
- інструменти
- спрацьовує
- Довіряйте
- Довірений
- тип
- несанкціонований
- створеного
- якщо не
- Використання
- використання
- використовуваний
- користувач
- використання
- різноманітність
- перевірити
- видимість
- Уразливості
- хотіти
- було
- шлях..
- ДОБРЕ
- в той час як
- ВООЗ
- чому
- з
- без
- Робочі процеси
- світ
- років
- вашу
- зефірнет