曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        代碼簽名在軟件供應鏈中的重要性
        發布時間:2021-06-06 14:53:53   閱讀次數:

        代碼簽名在軟件供應鏈中的重要性(圖1)

        你怎么知道你的代碼是可信的? 


        在一個難以獲得信任的世界里,問自己一個重要的問題。我們如何知道我們正在運行的應用程序、我們正在部署的容器或我們提供給客戶的代碼是真實的?我們怎么知道它沒有被篡改?


        這一切都歸結為代碼簽名。


        今天,軟件是每個企業背后的運營引擎。為了讓引擎像潤滑良好的機器一樣運行,我們需要知道我們構建的一切和部署的一切都是可信的。


        軟件供應鏈中信任的核心是代碼簽名。代碼簽名可證明代碼源供應商的身份,并驗證代碼自發布以來未被篡改。 


        我們正在迅速邁向一切都需要簽署的現實。不僅是我們從第三方供應商處購買的軟件,同樣重要的是,我們在自己的組織中構建和部署的軟件。這意味著從 PowerShell 腳本、Bash 腳本、容器、庫、文件和可執行文件(您可以命名)的所有內容。


        但是代碼簽名已經存在多年了。那么,有什么變化呢?


        軟件供應鏈中的威脅

        由于采用了 CI/CD 以及構建和測試自動化工具,應用程序和運營團隊的發展速度比以往任何時候都快。這意味著可以直接看到整個管道中發生的事情的人眼更少。 


        從高級持續威脅 (APT) 組織到地下室黑客,不法分子在這些快速變化和復雜的環境中尋找弱點或漏洞。為了保持低調,惡意代碼通常會在供應鏈的幾乎任何一點被注入或修改,而不會被發現。要么是這樣,要么他們損害了代碼簽名過程本身。


        黑客可以將惡意代碼注入開源軟件、源代碼存儲庫或破壞構建服務器本身。以SolarWinds 為例,黑客僅將幾行看似良性的代碼注入到單個 DLL 文件中,從而在整個供應鏈中造成了深刻而廣泛的威脅。 


        黑客還可能獲取或竊取在易受攻擊的系統上發現的代碼簽名密鑰,以對其惡意軟件工具進行簽名。我們已經在許多不同的場景中看到了這種情況,其中代碼簽名私鑰被構建服務器、開發人員工作站泄露,甚至意外地暴露在固件或軟件本身中。


        因此,從安全角度來看,僅僅對代碼進行簽名是不夠的?,F在,同樣重要的是:

        1. 確保開發人員正在構建的內容被簽名并交付給您的客戶。

        2. 用于簽署代碼的基礎設施和私鑰受到嚴格控制。


        代碼簽名:黑客的自然目標

        黑客已將攻擊目標進行了轉移。他們不是直接針對組織,而是在軟件供應鏈中尋找可以竊取工具或破壞代碼的薄弱環節。黑客掌握了這項技術十多年,通過妥協他們的軟件供應商或供應商間接瞄準了廣泛的公司。

        代碼簽名在軟件供應鏈中的重要性(圖2)

        (點擊圖片查看大圖)


        代碼簽名是黑客的自然目標,因為它允許黑客入侵供應鏈并從內部破壞目標。這是如何發生的:

        • 密鑰盜竊或濫用:黑客通過未受保護的系統或錯誤配置的帳戶訪問控制竊取代碼簽名材料。

        • 系統危害:黑客還可以危害集中簽名或更新服務器,以在交付過程中劫持軟件更新。

        • 代碼泄露:惡意代碼被注入開源庫或源代碼存儲庫,并且在簽名并推送給最終用戶之前未被檢測到。

        • 內部威脅:組織內的開發人員可能會有意簽署惡意代碼,甚至可能會在可公開訪問的軟件更新或存儲庫中無意泄露簽名密鑰。


        代碼簽名的現狀

        盡管存在這些眾所周知的威脅,但現實情況是,今天大多數組織并沒有像他們應有的那樣進行簽名,更重要的是,他們通常沒有一致的代碼簽名流程。 


        在最近的一項研究中發現,公司平均擁有 25 個代碼簽名證書。大約 51% 的受訪者表示,他們將相關的私鑰存儲在硬件安全模塊 (HSM) 中。另一方面,許多人表示在構建服務器 (33%) 和開發人員工作站 (19%) 上也可以找到私鑰,近三分之二 (60%) 的公司沒有正式的代碼訪問控制和審批流程——簽名密鑰。 

        代碼簽名在軟件供應鏈中的重要性(圖3)

        阻礙是什么?

        問題在于代碼簽名通常與軟件開發松散耦合,而不是緊密集成。這兩個過程是脫節的,這會造成軟件交付的摩擦和延遲,或者更糟糕的是,它為不良行為者提供了利用的可能性。以下是一些常見的障礙:

        • 遠程團隊:去中心化開發是新常態,它帶來了一些挑戰。在機器上本地存儲密鑰不是一種選擇,但將大文件傳輸到集中簽名系統會導致等待時間很長。

        • 無流程:代碼簽名密鑰在 HSM 中得到了很好的保護,但仍然需要控制簽名的內容、誰可以簽名等。

        • 手動流程:策略護欄必不可少,但嚴重依賴硬件配置和手動審批流程的流程無法擴展。

        • 無集成:缺乏文件類型支持或與現有工具(例如 SignTool、Authenticode、jarsigner)的集成使得在允許開發人員透明工作的同時保持集中控制變得極其困難。


        所以問題就變成了,你如何讓開發人員簽署代碼變得簡單和透明,同時保持對他們可以簽署的內容和方式的集中控制?這是我們問自己的一個問題,但我們沒有去尋找答案,而是建立了它。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精