COMMENTARY
Tin tức gần đây về việc hacker đã đột nhập vào công ty giải pháp truy cập từ xa AnyDesk đã làm sáng tỏ sự cần thiết của các công ty để có một cái nhìn lâu dài và kỹ lưỡng về các hoạt động ký mã để giúp đảm bảo chuỗi cung ứng phần mềm an toàn hơn.
Ký mã sẽ thêm chữ ký số vào phần mềm, chương trình cơ sở hoặc ứng dụng để đảm bảo mã người dùng đến từ một nguồn đáng tin cậy và không bị giả mạo kể từ lần ký cuối cùng. Tuy nhiên, việc ký mã chỉ hiệu quả khi thực thi nó và các biện pháp thực hành không đầy đủ có thể dẫn đến việc tiêm phần mềm độc hại, giả mạo mã và phần mềm cũng như các cuộc tấn công mạo danh.
Khóa riêng phải được bảo vệ, nhưng nhiều nhà phát triển (chủ yếu vì lý do thuận tiện) vẫn duy trì khóa riêng của họ và lưu trữ chúng trong máy cục bộ hoặc máy chủ xây dựng của họ. Điều này khiến chúng có nguy cơ bị trộm và lạm dụng, đồng thời tạo ra điểm mù cho các đội an ninh.
Tiếp theo Hack SolarWinds vào năm 2020, Diễn đàn Cơ quan cấp chứng chỉ/Trình duyệt (CA/B) đã phát hành một bộ thông tin mới yêu cầu cơ bản để duy trì chứng chỉ ký mã bắt buộc sử dụng mô-đun bảo mật phần cứng (HSM), thiết bị duy trì và bảo mật khóa mật mã cũng như các biện pháp khác để bảo vệ khóa riêng tư.
HSM cung cấp mức độ bảo mật cao nhất nhưng chúng cũng làm tăng chi phí, độ phức tạp và nhu cầu bảo trì. Trừ khi chúng có thể được tích hợp vào các công cụ ký mã mà nhóm DevOps sử dụng, việc ngắt kết nối có thể làm phức tạp việc truy cập ký mã và làm chậm quá trình.
Việc di chuyển sang đám mây đã đặt ưu tiên cao hơn cho bảo mật, nhưng đám mây cũng cung cấp giải pháp ký mã. Việc ký mã đám mây và HSM có thể mang lại tốc độ và sự linh hoạt mà các nhà phát triển mong muốn, cũng như khả năng kiểm soát tập trung hỗ trợ các nhóm phát triển phân tán, tích hợp vào các quy trình phát triển và có thể được giám sát dễ dàng hơn bằng biện pháp bảo mật.
Hành trình ký mã tích hợp
Với những thay đổi gần đây từ Diễn đàn CA / B, đã đến lúc các tổ chức bắt tay vào hành trình hiện đại hóa việc ký mã bằng khả năng kiểm soát tập trung để hỗ trợ các nhóm phát triển. Nhiều công ty vẫn đang ở giai đoạn “đặc biệt”, trong đó các khóa được duy trì cục bộ và các nhà phát triển sử dụng nhiều quy trình và công cụ ký mã khác nhau. Những người khác có quyền kiểm soát tập trung để cung cấp cho các nhóm bảo mật khả năng hiển thị và quản trị bằng cách sử dụng HSM để bảo mật khóa, nhưng việc sử dụng các công cụ ký mã riêng biệt vẫn ảnh hưởng đến tốc độ phát triển phần mềm.
Cấu trúc lý tưởng, hoàn thiện yêu cầu tích hợp các công cụ bảo mật chính, ký mã và quy trình phát triển để làm cho quy trình trở nên liền mạch và hợp lý trên tất cả các bản dựng, vùng chứa, tạo phẩm và tệp thực thi. Các nhóm bảo mật quản lý HSM và có được khả năng hiển thị đầy đủ về việc ký mã, trong khi các nhà phát triển hiện có quy trình phát triển linh hoạt và nhanh chóng.
Một số phương pháp hay nhất có thể giúp mở đường cho hành trình này:
-
Bảo vệ chìa khóa của bạn: Lưu trữ khóa ký mã ở một vị trí an toàn, chẳng hạn như HSM tuân thủ các yêu cầu mật mã của Diễn đàn CA/B (FIPS 140-2 Cấp 2 hoặc Tiêu chí chung EAL 4+). HSM có khả năng chống giả mạo và ngăn chặn việc xuất khóa riêng.
-
Kiểm soát quyền truy cập: Giảm thiểu rủi ro truy cập trái phép và lạm dụng khóa riêng bằng cách hạn chế quyền truy cập thông qua kiểm soát truy cập dựa trên vai trò. Xác định quy trình phê duyệt và thực thi các chính sách bảo mật để quy định quyền truy cập chỉ dành cho những nhân viên cần thiết, đồng thời duy trì nhật ký kiểm tra ghi lại ai đã kích hoạt yêu cầu ký, ai đã truy cập khóa và lý do.
-
Xoay phím: Nếu một khóa bị xâm phạm thì tất cả các bản phát hành được ký với nó đều có nguy cơ bị xâm phạm. Luân phiên các khóa ký mã thường xuyên và sử dụng các khóa riêng biệt và duy nhất để ký các bản phát hành khác nhau trên nhiều nhóm DevOps.
-
Mã dấu thời gian: Chứng chỉ ký mã có tuổi thọ giới hạn - từ một đến ba năm và ngày càng thu hẹp lại. Mã đánh dấu thời gian trong khi ký có thể xác minh tính hợp pháp của chữ ký ngay cả sau khi chứng chỉ hết hạn hoặc bị thu hồi, mở rộng độ tin cậy của mã và phần mềm đã ký.
-
Kiểm tra tính toàn vẹn của mã: Thực hiện đánh giá mã đầy đủ trước khi ký và phát hành bản dựng cuối cùng bằng cách so sánh mã trong máy chủ bản dựng với kho lưu trữ mã nguồn và xác minh tất cả chữ ký của nhà phát triển để đảm bảo chúng không bị giả mạo.
-
Quản lý tập trung: Các doanh nghiệp ngày nay có tính toàn cầu. Quy trình ký mã tập trung có thể giúp giám sát các hoạt động ký và chứng chỉ trên toàn doanh nghiệp, bất kể nhà phát triển ở đâu. Nó cải thiện khả năng hiển thị, xây dựng trách nhiệm giải trình và loại bỏ các lỗ hổng bảo mật.
-
Thực thi chính sách: Chuẩn hóa quy trình ký mã bằng cách xác định và ánh xạ các chính sách, bao gồm quyền sử dụng khóa, phê duyệt, hết hạn khóa, loại CA, kích thước khóa, loại thuật toán ký, v.v. Tự động thực thi chính sách để đảm bảo tất cả mã, tệp và phần mềm đều được ký dựa trên chính sách và tuân thủ các tiêu chuẩn ngành.
-
Đơn giản hóa việc ký mã: Việc tích hợp và tự động hóa việc ký mã bằng các công cụ CI/CD giúp đơn giản hóa quy trình cho DevOps mà không ảnh hưởng đến bảo mật, đồng thời thúc đẩy tốc độ và tính linh hoạt.
Trong một thế giới tích hợp liên tục và triển khai liên tục, các biện pháp thực hành tốt nhất về ký mã mạnh mẽ mang lại một cách thức vô giá để xây dựng niềm tin trong quá trình phát triển và tạo điều kiện cho chuỗi cung ứng phần mềm an toàn hơn.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
- : có
- :là
- :Ở đâu
- 10
- 11
- 12
- 13
- 19
- 2020
- 7
- 8
- 9
- a
- truy cập
- truy cập
- trách nhiệm
- ngang qua
- hoạt động
- Ad
- Thêm
- Sau
- nhanh nhẹn
- thuật toán
- Tất cả
- Ngoài ra
- an
- và
- các ứng dụng
- phê duyệt
- chấp thuận
- LÀ
- AS
- đảm bảo
- At
- Các cuộc tấn công
- kiểm toán
- tự động hóa
- tự động hóa
- dựa
- BE
- được
- trước
- được
- BEST
- thực hành tốt nhất
- xây dựng
- xây dựng lòng tin
- xây dựng
- nhưng
- by
- CA
- CAN
- tập trung
- Giấy chứng nhận
- Giấy chứng nhận
- chuỗi
- Những thay đổi
- Vòng tròn
- đám mây
- mã
- Đánh giá mã
- đến
- Chung
- Các công ty
- công ty
- so sánh
- phức tạp
- compliant
- thỏa hiệp
- Thỏa hiệp
- ảnh hưởng
- Container
- liên tục
- điều khiển
- thuận tiện
- Phí Tổn
- tạo ra
- tiêu chuẩn
- mật mã
- định nghĩa
- xác định
- nhu cầu
- triển khai
- Nhà phát triển
- phát triển
- Phát triển
- nhóm phát triển
- Thiết bị (Devices)
- khác nhau
- kỹ thuật số
- phân phối
- xuống
- dễ dàng
- loại trừ hết
- tham gia
- cho phép
- thi hành
- thực thi
- tăng cường
- đảm bảo
- Doanh nghiệp
- Ngay cả
- thực hiện
- hết hạn
- mở rộng
- vài
- Các tập tin
- cuối cùng
- Trong
- Diễn đàn
- từ
- Full
- Thu được
- Cho
- Toàn cầu
- tốt
- quản trị
- tin tặc
- có
- Cứng
- phần cứng
- An ninh phần cứng
- Có
- giúp đỡ
- cao hơn
- cao nhất
- HTTPS
- ICON
- lý tưởng
- Tác động
- cải thiện
- in
- Bao gồm
- Tăng lên
- ngành công nghiệp
- tiêu chuẩn công nghiệp
- tiêm thuốc
- tích hợp
- Tích hợp
- hội nhập
- tính toàn vẹn
- trong
- vô giá
- IT
- ITS
- cuộc hành trình
- jpg
- Key
- phím
- Họ
- dẫn
- hợp pháp
- Cấp
- ánh sáng
- Hạn chế
- hạn chế
- địa phương
- tại địa phương
- nằm
- địa điểm thư viện nào
- dài
- Xem
- Máy móc
- thực hiện
- phần lớn
- duy trì
- duy trì
- Duy trì
- bảo trì
- làm cho
- phần mềm độc hại
- quản lý
- quản lý
- nhiệm vụ
- nhiều
- lập bản đồ
- trưởng thành
- các biện pháp
- sử dụng sai
- hiện đại hóa
- Modules
- Màn Hình
- theo dõi
- chi tiết
- nhiều
- cần thiết
- Cần
- Mới
- tin tức
- tại
- of
- Cung cấp
- on
- ONE
- có thể
- mở
- or
- tổ chức
- Nền tảng khác
- Khác
- riêng
- mở đường
- quyền
- đường ống dẫn
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Chính sách
- điều luật
- thực hành
- ngăn chặn
- ưu tiên
- riêng
- Khóa riêng
- quá trình
- Quy trình
- Thúc đẩy
- bảo vệ
- bảo vệ
- cho
- lý do
- gần đây
- ghi
- Bất kể
- thường xuyên
- Quy định
- phát hành
- Phát hành
- phát hành
- vẫn
- xa
- truy cập từ xa
- kho
- yêu cầu
- Yêu cầu
- đòi hỏi
- xem xét
- Nguy cơ
- liền mạch
- an toàn
- an ninh
- Chính sách bảo mật
- riêng biệt
- máy chủ
- Các máy chủ
- định
- chữ ký
- Chữ ký
- Ký kết
- ký
- đơn giản hóa
- kể từ khi
- Kích thước máy
- chậm
- Phần mềm
- phát triển phần mềm
- chuỗi cung ứng phần mềm
- giải pháp
- nguồn
- mã nguồn
- tốc độ
- điểm
- Nhân sự
- Traineeship
- tiêu chuẩn
- Vẫn còn
- hàng
- chiến lược
- sắp xếp hợp lý
- mạnh mẽ
- cấu trúc
- như vậy
- cung cấp
- chuỗi cung ứng
- hỗ trợ
- Hỗ trợ
- chắc chắn
- Hãy
- nhóm
- đội
- việc này
- Sản phẩm
- Nguồn
- trộm cắp
- cung cấp their dịch
- Them
- họ
- điều này
- số ba
- Thông qua
- thời gian
- đến
- bây giờ
- công cụ
- được kích hoạt
- NIỀM TIN
- đáng tin cậy
- kiểu
- không được phép
- độc đáo
- trừ khi
- Sử dụng
- sử dụng
- đã sử dụng
- người sử dang
- sử dụng
- nhiều
- xác minh
- khả năng hiển thị
- Lỗ hổng
- muốn
- là
- Đường..
- TỐT
- trong khi
- CHÚNG TÔI LÀ
- tại sao
- với
- không có
- Luồng công việc
- thế giới
- năm
- trên màn hình
- zephyrnet