التعليق
الأخبار الأخيرة التي تفيد بأن المتسللين قد اخترقوا شركة حلول الوصول عن بعد AnyDesk سلط الضوء بشدة على حاجة الشركات إلى إلقاء نظرة طويلة ودقيقة على ممارسات توقيع التعليمات البرمجية للمساعدة في ضمان سلسلة توريد برمجيات أكثر أمانًا.
يضيف توقيع الرمز توقيعًا رقميًا إلى البرامج أو البرامج الثابتة أو التطبيقات التي تضمن أن رمز المستخدم يأتي من مصدر موثوق وأنه لم يتم العبث به منذ آخر توقيع. لكن توقيع التعليمات البرمجية يكون جيدًا بقدر تنفيذه، ويمكن أن تؤدي الممارسات غير الكافية إلى حقن البرامج الضارة، والتلاعب بالرموز والبرامج، وهجمات انتحال الشخصية.
يجب حماية المفاتيح الخاصة، لكن العديد من المطورين (لأسباب تتعلق بالملاءمة بشكل أساسي) يحتفظون بمفاتيحهم الخاصة ويخزنونها في أجهزتهم المحلية أو ينشئون خوادم. وهذا يتركها عرضة للسرقة وسوء الاستخدام، ويخلق نقاط عمياء لفرق الأمن.
بعد اختراق SolarWinds في عام 2020، أصدر منتدى المرجع المصدق/المتصفح (CA/B) مجموعة جديدة من متطلبات خط الأساس للحفاظ على شهادات توقيع التعليمات البرمجية التي تفرض استخدام وحدات أمان الأجهزة (HSMs)، والأجهزة التي تحافظ على مفاتيح التشفير وتؤمنها، بالإضافة إلى التدابير الأخرى لحماية المفاتيح الخاصة.
توفر وحدات HSM أعلى مستوى من الأمان، ولكنها تزيد أيضًا من التكلفة والتعقيد ومتطلبات الصيانة. وما لم يكن من الممكن دمجها في أدوات توقيع التعليمات البرمجية التي يستخدمها فريق DevOps، فإن قطع الاتصال يمكن أن يؤدي إلى تعقيد الوصول إلى توقيع التعليمات البرمجية وإبطاء العملية.
لقد جعل الانتقال إلى السحابة الأمان أولوية أعلى، لكن السحابة توفر أيضًا حلاً لتوقيع التعليمات البرمجية. يمكن أن يوفر توقيع التعليمات البرمجية السحابية ووحدات HSM السرعة والمرونة التي يريدها المطورون، بالإضافة إلى التحكم المركزي الذي يدعم فرق التطوير الموزعة، ويتكامل مع عمليات التطوير، ويمكن مراقبته بسهولة أكبر بواسطة الأمان.
الرحلة إلى التوقيع المتكامل للتعليمات البرمجية
مع التغييرات الأخيرة من منتدى CA / Bلقد حان الوقت للمؤسسات للبدء في رحلة لتحديث توقيع التعليمات البرمجية الخاصة بها من خلال التحكم المركزي لدعم فرق التطوير. تظل العديد من الشركات في المرحلة "المخصصة"، حيث يتم الاحتفاظ بالمفاتيح محليًا ويستخدم المطورون مجموعة متنوعة من عمليات وأدوات توقيع التعليمات البرمجية. يتمتع البعض الآخر بتحكم مركزي لمنح فرق الأمان الرؤية والحوكمة باستخدام وحدات HSM لتأمين المفاتيح، ولكن استخدام أدوات توقيع التعليمات البرمجية المنفصلة لا يزال يؤثر على سرعة تطوير البرامج.
يتطلب الهيكل المثالي الناضج تكامل الأمان الرئيسي وأدوات توقيع التعليمات البرمجية وسير عمل التطوير لجعل العملية سلسة ومبسطة عبر جميع البنيات والحاويات والعناصر والملفات التنفيذية. تقوم فرق الأمان بإدارة وحدات HSM وتكتسب رؤية كاملة لتوقيع التعليمات البرمجية، بينما يتمتع المطورون الآن بخطة تطوير سريعة وسريعة.
يمكن لبعض أفضل الممارسات أن تساعد في تمهيد الطريق في هذه الرحلة:
-
قم بتأمين مفاتيحك: قم بتخزين مفاتيح توقيع التعليمات البرمجية في مكان آمن، مثل HSM الذي يتوافق مع متطلبات التشفير لمنتدى CA/B (FIPS 140-2 Level 2 أو Common Criteria EAL 4+). تتميز وحدات HSM بأنها مقاومة للتلاعب، وتمنع تصدير المفاتيح الخاصة.
-
التحكم في الوصول: قلل من مخاطر الوصول غير المصرح به وإساءة استخدام المفاتيح الخاصة عن طريق تقييد الوصول من خلال التحكم في الوصول المستند إلى الدور. قم بتحديد مسارات عمل الموافقة وفرض سياسات الأمان لتنظيم الوصول إلى الموظفين الضروريين فقط، والاحتفاظ بسجلات التدقيق التي تسجل من قام بتشغيل طلب التوقيع، ومن وصل إلى المفاتيح، ولماذا.
-
تدوير المفاتيح: إذا تم اختراق مفتاح واحد، فإن جميع الإصدارات الموقعة معه معرضة لخطر الاختراق. قم بتدوير مفاتيح توقيع التعليمات البرمجية بانتظام، واستخدم مفاتيح فريدة ومنفصلة لتوقيع الإصدارات المختلفة عبر فرق DevOps المتعددة.
-
رمز الطابع الزمني: شهادات توقيع التعليمات البرمجية لها عمر محدود - من سنة إلى ثلاث سنوات وتتقلص. يمكن لرمز الختم الزمني أثناء التوقيع التحقق من شرعية التوقيع حتى بعد انتهاء صلاحية الشهادة أو إبطالها، مما يزيد من ثقة الرمز والبرنامج الموقع.
-
التحقق من سلامة الكود: قم بإجراء مراجعة كاملة للتعليمات البرمجية قبل التوقيع وإصدار الإصدار النهائي من خلال مقارنة التعليمات البرمجية الموجودة في خادم البناء مع مستودع التعليمات البرمجية المصدر، والتحقق من جميع توقيعات المطورين للتأكد من أنها خالية من التلاعب.
-
الإدارة المركزية: الأعمال التجارية اليوم عالمية. يمكن أن تساعد عملية توقيع التعليمات البرمجية المركزية في مراقبة أنشطة التوقيع والشهادات عبر المؤسسة، بغض النظر عن مكان تواجد المطورين. إنه يحسن الرؤية ويبني المساءلة ويزيل الثغرات الأمنية.
-
إنفاذ السياسات: قم بتوحيد عملية توقيع التعليمات البرمجية من خلال تحديد السياسات وتعيينها، بما في ذلك أذونات استخدام المفتاح والموافقات وانتهاء صلاحية المفتاح ونوع CA وحجم المفتاح ونوع خوارزمية التوقيع والمزيد. قم بأتمتة تطبيق السياسة لضمان توقيع جميع التعليمات البرمجية والملفات والبرامج بناءً على السياسة ومتوافقة مع معايير الصناعة.
-
تبسيط توقيع التعليمات البرمجية: يعمل دمج وأتمتة توقيع التعليمات البرمجية باستخدام أدوات CI/CD على تبسيط عملية DevOps دون المساس بالأمان مع تعزيز السرعة وخفة الحركة.
في عالم يتسم بالتكامل المستمر والنشر المستمر، توفر أفضل الممارسات القوية لتوقيع التعليمات البرمجية طريقة لا تقدر بثمن لبناء الثقة في عملية التطوير وتمكين سلسلة توريد برمجيات أكثر أمانًا.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
