टीका
हालिया खबर है कि हैकर्स ने रिमोट एक्सेस सॉल्यूशन कंपनी में सेंध लगाई है AnyDesk अधिक सुरक्षित सॉफ़्टवेयर आपूर्ति श्रृंखला सुनिश्चित करने में मदद करने के लिए कंपनियों को कोड-हस्ताक्षर प्रथाओं पर एक लंबी, कड़ी नज़र डालने की आवश्यकता पर कठोर प्रकाश डाला गया।
कोड हस्ताक्षर सॉफ़्टवेयर, फ़र्मवेयर या एप्लिकेशन में एक डिजिटल हस्ताक्षर जोड़ता है जो यह सुनिश्चित करता है कि उपयोगकर्ता कोड एक विश्वसनीय स्रोत से आ रहा है और अंतिम बार हस्ताक्षर किए जाने के बाद से इसके साथ छेड़छाड़ नहीं की गई है। लेकिन कोड हस्ताक्षर करना उतना ही अच्छा है जितना उसका निष्पादन, और अपर्याप्त प्रथाओं से मैलवेयर इंजेक्शन, कोड और सॉफ़्टवेयर के साथ छेड़छाड़ और प्रतिरूपण हमले हो सकते हैं।
निजी कुंजियों को संरक्षित करना पड़ता है, लेकिन कई डेवलपर्स (मुख्य रूप से सुविधा कारणों से) अपनी स्वयं की कुंजी बनाए रखते हैं और उन्हें अपनी स्थानीय मशीनों या बिल्ड सर्वर में संग्रहीत करते हैं। यह उन्हें चोरी और दुरुपयोग के लिए खुला छोड़ देता है, और सुरक्षा टीमों के लिए अंध स्थान बनाता है।
निम्नलिखित SolarWinds हैक 2020 में, सर्टिफिकेट अथॉरिटी/ब्राउज़र (सीए/बी) फोरम ने एक नया सेट जारी किया आधारभूत आवश्यकताएँ कोड-हस्ताक्षर प्रमाणपत्रों को बनाए रखने के लिए जो हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम), क्रिप्टोग्राफ़िक कुंजी को बनाए रखने और सुरक्षित करने वाले उपकरणों के साथ-साथ निजी कुंजी की सुरक्षा के लिए अन्य उपायों के उपयोग को अनिवार्य करता है।
एचएसएम उच्चतम स्तर की सुरक्षा प्रदान करते हैं, लेकिन वे लागत, जटिलता और रखरखाव की मांग भी बढ़ाते हैं। जब तक उन्हें DevOps टीम द्वारा उपयोग किए जाने वाले कोड-साइनिंग टूल में एकीकृत नहीं किया जा सकता, तब तक डिस्कनेक्ट कोड-साइनिंग एक्सेस को जटिल बना सकता है और प्रक्रिया को धीमा कर सकता है।
क्लाउड में स्थानांतरण ने सुरक्षा को उच्च प्राथमिकता बना दी है, लेकिन क्लाउड कोड हस्ताक्षर के लिए एक समाधान भी प्रदान करता है। क्लाउड कोड साइनिंग और एचएसएम वह गति और चपलता प्रदान कर सकते हैं जो डेवलपर्स चाहते हैं, साथ ही केंद्रीकृत नियंत्रण जो वितरित विकास टीमों का समर्थन करता है, विकास प्रक्रियाओं में एकीकृत होता है, और सुरक्षा द्वारा अधिक आसानी से निगरानी की जा सकती है।
एकीकृत कोड हस्ताक्षर की यात्रा
से हाल के बदलावों के साथ सीए / बी फोरम, अब संगठनों के लिए विकास टीमों का समर्थन करने के लिए केंद्रीकृत नियंत्रण के साथ अपने कोड हस्ताक्षर को आधुनिक बनाने की यात्रा शुरू करने का समय आ गया है। कई कंपनियां "तदर्थ" चरण में रहती हैं, जहां चाबियाँ स्थानीय स्तर पर बनाए रखी जाती हैं और डेवलपर्स विभिन्न प्रकार की कोड हस्ताक्षर प्रक्रियाओं और उपकरणों का उपयोग करते हैं। दूसरों के पास कुंजी सुरक्षित करने के लिए एचएसएम का उपयोग करके सुरक्षा टीमों को दृश्यता और शासन देने के लिए केंद्रीकृत नियंत्रण है, लेकिन अलग-अलग कोड हस्ताक्षर उपकरण का उपयोग अभी भी सॉफ्टवेयर विकास की गति को प्रभावित करता है।
आदर्श, परिपक्व संरचना के लिए सभी बिल्ड, कंटेनर, कलाकृतियों और निष्पादन योग्य में प्रक्रिया को निर्बाध और सुव्यवस्थित बनाने के लिए प्रमुख सुरक्षा, कोड-हस्ताक्षर उपकरण और विकास वर्कफ़्लो के एकीकरण की आवश्यकता होती है। सुरक्षा टीमें एचएसएम का प्रबंधन करती हैं और कोड हस्ताक्षर में पूर्ण दृश्यता प्राप्त करती हैं, जबकि डेवलपर्स के पास अब एक चुस्त और त्वरित विकास पाइपलाइन है।
कुछ सर्वोत्तम प्रथाएँ इस यात्रा में मार्ग प्रशस्त करने में मदद कर सकती हैं:
-
अपनी चाबियाँ सुरक्षित करें: कोड-हस्ताक्षर कुंजियों को एक सुरक्षित स्थान पर संग्रहीत करें, जैसे कि एचएसएम जो सीए/बी फोरम क्रिप्टोग्राफ़िक आवश्यकताओं (एफआईपीएस 140-2 स्तर 2 या सामान्य मानदंड ईएएल 4+) का अनुपालन करता है। एचएसएम छेड़छाड़-प्रतिरोधी हैं, और निजी कुंजी को निर्यात होने से रोकते हैं।
-
पहुंच नियंत्रित करें: भूमिका-आधारित पहुंच नियंत्रण के माध्यम से पहुंच को सीमित करके अनधिकृत पहुंच और निजी कुंजी के दुरुपयोग के जोखिम को कम करें। अनुमोदन वर्कफ़्लो को परिभाषित करें और केवल आवश्यक कर्मचारियों तक पहुंच को विनियमित करने के लिए सुरक्षा नीतियों को लागू करें, और ऑडिट लॉग बनाए रखें जो रिकॉर्ड करते हैं कि हस्ताक्षर अनुरोध को किसने ट्रिगर किया, किसने कुंजियों तक पहुंच बनाई और क्यों।
-
कुंजियाँ घुमाएँ: यदि एक कुंजी से समझौता किया जाता है, तो उसके साथ हस्ताक्षरित सभी रिलीज़ों से समझौता होने का खतरा होता है। कोड-साइनिंग कुंजियों को नियमित रूप से घुमाएँ, और कई DevOps टीमों में विभिन्न रिलीज़ों पर हस्ताक्षर करने के लिए अद्वितीय और अलग कुंजियों का उपयोग करें।
-
टाइम-स्टैम्प कोड: कोड-हस्ताक्षर प्रमाणपत्रों का जीवनकाल सीमित होता है - एक से तीन वर्ष और सिकुड़ता हुआ। हस्ताक्षर करते समय टाइम-स्टैम्पिंग कोड, प्रमाणपत्र समाप्त होने या निरस्त होने के बाद भी हस्ताक्षर की वैधता को सत्यापित कर सकता है, जिससे हस्ताक्षरित कोड और सॉफ़्टवेयर का विश्वास बढ़ जाता है।
-
कोड की अखंडता की जाँच करें: स्रोत कोड रिपॉजिटरी के साथ बिल्ड सर्वर में कोड की तुलना करके अंतिम बिल्ड पर हस्ताक्षर करने और जारी करने से पहले एक पूर्ण कोड समीक्षा करें, और यह सुनिश्चित करने के लिए सभी डेवलपर हस्ताक्षर सत्यापित करें कि वे छेड़छाड़ मुक्त हैं।
-
केंद्रीकृत प्रबंधन: व्यवसाय आज वैश्विक हैं। एक केंद्रीकृत कोड हस्ताक्षर प्रक्रिया पूरे उद्यम में हस्ताक्षर गतिविधियों और प्रमाणपत्रों की निगरानी में मदद कर सकती है, भले ही डेवलपर्स कहीं भी स्थित हों। यह दृश्यता में सुधार करता है, जवाबदेही बनाता है और सुरक्षा कमजोरियों को दूर करता है।
-
नीतियां लागू करें: मुख्य उपयोग अनुमतियाँ, अनुमोदन, कुंजी समाप्ति, सीए प्रकार, कुंजी आकार, हस्ताक्षर एल्गोरिदम प्रकार और अधिक सहित नीतियों को परिभाषित और मैप करके कोड-हस्ताक्षर प्रक्रिया को मानकीकृत करें। यह सुनिश्चित करने के लिए नीति प्रवर्तन को स्वचालित करें कि सभी कोड, फ़ाइलें और सॉफ़्टवेयर नीति के आधार पर हस्ताक्षरित हैं और उद्योग मानकों के अनुरूप हैं।
-
कोड हस्ताक्षर को सरल बनाएं: CI/CD टूल के साथ कोड साइनिंग को एकीकृत और स्वचालित करना गति और चपलता को बढ़ावा देते हुए सुरक्षा से समझौता किए बिना DevOps के लिए प्रक्रिया को सरल बनाता है।
निरंतर एकीकरण और निरंतर तैनाती की दुनिया में, मजबूत कोड-साइनिंग सर्वोत्तम प्रथाएं विकास प्रक्रिया में विश्वास बनाने और अधिक सुरक्षित सॉफ्टवेयर आपूर्ति श्रृंखला को सक्षम करने का एक अमूल्य तरीका प्रदान करती हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
