E-Semnatura pentru soluții de semnare a codului
Unele dintre cele mai sensibile chei dintr-o întreprindere sunt cheile de semnare a codului. Dacă nu sunt protejate corespunzător, aceste chei de semnare a codului pot fi compromise, putând duce la catastrofe.
Stocarea cheilor de semnare a codului într-un modul de securitate hardware (HSM) oferă o securitate excelentă (și este acum obligatorie conform cerințelor CA/Browser Forum), dar poate introduce provocări de integrare și blocaje de performanță, blocând canalul CI/CD. Pe de altă parte, stocarea cheilor de semnare a codului în afara unui HSM crește semnificativ riscul și poate face ca soluțiile de semnare a codului să nu fie conforme.
E-semnatura vă oferă ce e mai bun din ambele lumi: securitate puternică pentru semnarea codului la nivel de întreprindere și performanță superioară, plus integrări ale clienților cu toate instrumentele de securitate cibernetică utilizate în mediul dvs. actual.
Soluția dumneavoastră de semnare a codului la nivel de întreprindere trebuie să fie sigură, rapidă și ușor de utilizat. Cum le îndepliniți pe toate trei?
Ramificațiile practicilor nesigure de semnare a codului pot fi dezastruoase. Cheile de semnare a codului trebuie securizate în permanență.
Însă cele mai bune practici și securitatea în ceea ce privește semnarea codului nu sunt singurele lucruri care contează - o soluție de semnare a codului la nivel de întreprindere trebuie să țină cont și de performanță și ușurință în utilizare. Într-un mediu DevOps, viteza este primordială: semnarea codului nu trebuie să încetinească fluxul de lucru CI/CD. În același timp, soluția de semnare a codului trebuie să se integreze cu instrumentele și procesele de securitate cibernetică existente la nivel de întreprindere pentru a facilita implementarea, utilizarea și gestionarea.
E-semnatura permite semnături în subsecundă cu chei protejate prin modul de securitate hardware (HSM) pentru toate instrumentele pe care le utilizați astăzi.
Acces securizat la cheile protejate prin Modulul de securitate hardware (HSM)
E-semnatura este implementat pe o infrastructură gestionată de client, între modulul de securitate hardware (HSM) și clienții care semnează, restricționând accesul cheilor prin proxy pentru acești clienți.
Rezultatul este că toate cheile de semnare a codului rămân securizate și neexportabile în HSM în orice moment, oferind securitate maximă, în timp ce utilizatorii finali pot folosi în continuare cheile de care au nevoie pentru a semna eficient codul.
Performanță ridicată cu hashing pe partea de client
E-semnatura folosește o arhitectură de hashing pe partea de client. Clienții care semnează hashează codul de care au nevoie pentru a-l semna înainte de a-l trimite prin rețea pentru a crea semnătura.
Această arhitectură de semnare hash limitează cantitatea de date transmise prin rețea, astfel încât semnarea securizată a codului rămâne rapidă pentru a susține integrarea continuă, în timp ce cheile de semnare rămân securizate în modulul de securitate hardware (HSM).
Advanced Cybersecurity Features
E-semnatura supports advanced security features, including multi-factor authentication (MFA), device authentication, approval workflows, IP address whitelisting, notifications, privileged identity management (PIM) and more. With E-semnatura’s granular controls, these features can be enabled on a per-key or per-user basis and integrated with any signing tool.
Ensure Code Signing Is Tamper-Free
With client-side hashing in place, E-semnatura receives only the hash to sign during the code signing process. To ensure that the digital signature hash it receives matches the digital signature hash of the code in the repository, E-semnatura automatically retrieves the source code, performs a deterministic build, and independently generates a hash. A precise match of the two digital signature hashes proves that the code signing has not been tampered with, preventing malware injections and supply chain attacks.
Integrations To All The Tools You Use
E-semnatura for Enterprise Code Signing FAQs
E-semnatura acceptă semnarea de pe stația de lucru a unui dezvoltator?
Da, E-semnatura acceptă instrumente native de semnare care pot fi executate de pe stația de lucru a unui dezvoltator.
Ce autorități de certificare acceptă E-semnatura?
E-semnatura poate accepta certificate de la orice autoritate de certificare prin intermediul celor mai simple capabilități de procesare a certificatelor. Pentru emiterea automată a certificatelor, E-semnatura oferă suport de primă clasă pentru anumite autorități de certificare.
Ce controale de securitate sunt disponibile pentru semnarea manuală a codului de producție?
Pentru semnarea manuală a codului de producție (de obicei realizată ca un proces ceremonial), E-semnatura acceptă autentificarea multi-factor (MFA), autentificarea dispozitivelor, fluxurile de lucru de aprobare bazate pe cvorum, validarea hash automată, includerea pe lista albă a adreselor IP, accesul just-in-time, notificările de audit și permisiunile granulare pentru chei.
Ce controale de securitate sunt disponibile pentru semnarea automată a codului?
Pentru semnarea automată a codului, E-semnatura acceptă autentificarea dispozitivelor, validarea automată a hash-ului, includerea pe lista albă a adreselor IP, notificările de audit și permisiunile granulare pentru chei.
Cum protejează E-semnatura împotriva unui server de compilare compromis sau a unei amenințări interne?
Unul dintre cele mai avansate controale de securitate cibernetică ale E-semnatura este funcția patentată de validare automată a codului hash. Această funcție utilizează versiuni reproductibile pentru a se asigura că ceea ce este semnat se potrivește cu ceea ce se află în depozitul de control al sursei. Procedând astfel, compromiterea serverului de versiuni nu este suficientă pentru ca un atacator să semneze malware-ul său. Atacatorul trebuie să plaseze malware-ul în depozitul de cod sursă. Acesta nu este doar un atac suplimentar de care atacatorul trebuie să fie capabil, ci lasă și o înregistrare permanentă a atacului care ar trebui detectată în timpul revizuirii sau scanării codului.
Validarea automată a hash-ului încetinește canalul CI/CD?
E-semnatura acceptă două moduri de validare hash automată – pre-semnare și post-semnare. În modul pre-semnare, validarea se face înainte ca semnarea codului să fie efectuată, acționând astfel ca un control preventiv, oferind cel mai înalt nivel de securitate, dar având și cea mai mare penalizare de performanță. În modul post-semnare, validarea se face după generarea semnăturii, acționând astfel ca un control detectiv, având beneficii de securitate ușor reduse, dar performanțe excelente. În modul post-semnare, chiar dacă un atacator își poate semna malware-ul, acesta va fi detectat relativ repede, astfel încât se pot lua măsuri. Ghesar recomandă utilizarea validării pre-semnare pentru semnarea în producție și a validării post-semnare pentru semnarea în afara producției, care are loc în mediul de integrare continuă.
Poate E-semnatura scana codul pentru malware sau alte probleme?
Da, ca parte a validării automate a hash-urilor, E-semnatura poate rula orice set de instrumente pe codul sursă și/sau fișiere binare și poate utiliza rezultatul rulării acelor instrumente ca parte a validării. De exemplu, E-semnatura poate fi configurat să ruleze instrumente de analiză statică, instrumente de fuzzing etc.
Pentru clienții foarte sensibili la performanță, funcția de validare automată a hash-urilor a E-semnatura poate fi utilizată pentru a descărca procesarea pe care serverul de compilare ar trebui să o facă altfel. Procedând astfel, se pot rula în paralel sarcini care altfel ar rula în serie, reducând astfel timpul total necesar pentru finalizarea unei compilații.
De ce ar trebui să utilizez E-semnatura pentru semnarea de cod în afara producției?
Există câteva motive. Primul este că toate cheile de semnare a codului, inclusiv cele non-producție, ar trebui stocate în modulul de securitate hardware (HSM) al companiei. Chiar dacă aceste chei nu sunt de încredere publică, ele sunt de încredere în mediul de testare și, prin urmare, pot fi utilizate pentru a semna programe malware care se răspândesc în acel mediu. Al doilea este că cheile de semnare a codului și serverele de compilare sunt ținte de mare valoare pentru atacatori. Dacă sunteți atacat, doriți o protecție puternică și doriți să fiți alertat cu privire la problemă cât mai curând posibil. E-semnatura vă oferă acest lucru. Al treilea motiv este că doriți să aveți un sistem care să vă gestioneze certificatele. Fără aceasta, este ușor să uitați că un certificat va expira, ceea ce duce la întreruperi ale fluxului de lucru CI/CD.
Cum funcționează aprobările manuale?
E-semnatura acceptă un proces de aprobare bazat pe cvorum, în care un cvorum de aprobare trebuie să aprobe cererea înainte de generarea semnăturii. Dacă un aprobare respinge cererea, semnătura nu este generată. E-semnatura acceptă chiar și niveluri de cvorumuri, fiecare nivel având propria dimensiune a cvorumului. De exemplu, puteți configura procesul astfel încât cel puțin trei dezvoltatori să aprobe cererea. După finalizare, cel puțin un tester trebuie să o aprobe. Și așa mai departe, după cum considerați de cuviință.
Does E-semnatura satisfy my requirement to use an HSM for code signing?
Yes. E-semnatura integrates with your hardware security module (HSM) of choice to create, store, and use private keys for code signing, amongst other use cases.