8 strategie per migliorare la sicurezza della firma del codice

COMMENTO

La recente notizia secondo cui gli hacker hanno violato la società di soluzioni di accesso remoto AnyDesk ha messo in luce la necessità per le aziende di analizzare attentamente le pratiche di firma del codice per garantire una catena di fornitura del software più sicura.

La firma del codice aggiunge una firma digitale al software, al firmware o alle applicazioni che garantisce che il codice utente provenga da una fonte attendibile e non sia stato manomesso dall'ultima volta che è stato firmato. Ma la firma del codice è valida tanto quanto la sua esecuzione, e pratiche inadeguate possono portare a iniezioni di malware, manomissione del codice e del software e attacchi di imitazione.

Le chiavi private devono essere protette, ma molti sviluppatori (soprattutto per ragioni di comodità) mantengono le proprie e le archiviano nelle loro macchine locali o costruiscono server. Ciò li espone a furti e abusi e crea punti ciechi per i team di sicurezza.

Dopo l' Hack di SolarWinds nel 2020, il forum dell'autorità di certificazione/browser (CA/B) ha rilasciato una nuova serie di requisiti di base per il mantenimento dei certificati di firma del codice che impongono l'uso di moduli di sicurezza hardware (HSM), dispositivi che mantengono e proteggono le chiavi crittografiche, nonché altre misure per proteggere le chiavi private.

Gli HSM forniscono il massimo livello di sicurezza, ma aumentano anche i costi, la complessità e le esigenze di manutenzione. A meno che non possano essere integrati negli strumenti di firma del codice utilizzati dal team DevOps, la disconnessione può complicare l’accesso alla firma del codice e rallentare il processo.

La migrazione al cloud ha reso la sicurezza una priorità più alta, ma il cloud offre anche una soluzione per la firma del codice. La firma del codice cloud e gli HSM possono fornire la velocità e l'agilità che gli sviluppatori desiderano, nonché un controllo centralizzato che supporta i team di sviluppo distribuiti, si integra nei processi di sviluppo e può essere più facilmente monitorato dalla sicurezza.

Il viaggio verso la firma del codice integrata

Con le recenti modifiche da Forum CA / B, è giunto il momento che le organizzazioni intraprendano un viaggio per modernizzare la firma del codice con un controllo centralizzato per supportare i team di sviluppo. Molte aziende rimangono nella fase “ad hoc”, in cui le chiavi vengono mantenute localmente e gli sviluppatori utilizzano una varietà di processi e strumenti di firma del codice. Altri hanno un controllo centralizzato per offrire visibilità e governance ai team di sicurezza utilizzando gli HSM per proteggere le chiavi, ma l’utilizzo di strumenti di firma del codice separati influisce comunque sulla velocità di sviluppo del software.

La struttura ideale e matura richiede l'integrazione di sicurezza chiave, strumenti di firma del codice e flussi di lavoro di sviluppo per rendere il processo fluido e ottimizzato in tutte le build, contenitori, artefatti ed eseguibili. I team di sicurezza gestiscono gli HSM e ottengono piena visibilità sulla firma del codice, mentre gli sviluppatori ora dispongono di una pipeline di sviluppo agile e veloce.

Alcune best practice possono aiutare ad aprire la strada in questo viaggio:

Proteggi le tue chiavi: Conserva le chiavi di firma del codice in un luogo sicuro, ad esempio un HSM conforme ai requisiti crittografici del Forum CA/B (FIPS 140-2 Livello 2 o Common Criteria EAL 4+). Gli HSM sono resistenti alle manomissioni e impediscono l'esportazione delle chiavi private.

Controllo dell'accesso: Riduci al minimo il rischio di accesso non autorizzato e uso improprio delle chiavi private limitando l'accesso tramite il controllo degli accessi basato sui ruoli. Definisci i flussi di lavoro di approvazione e applica le policy di sicurezza per regolare l'accesso solo al personale necessario e conserva i registri di controllo che registrano chi ha attivato la richiesta di firma, chi ha avuto accesso alle chiavi e perché.

Ruota i tasti: Se una chiave viene compromessa, tutte le versioni firmate con essa sono a rischio di compromissione. Ruota regolarmente le chiavi di firma del codice e utilizza chiavi univoche e separate per firmare versioni diverse tra più team DevOps.

Codice marca temporale: I certificati di firma del codice hanno una durata limitata: da uno a tre anni e in diminuzione. Il codice timestamp durante la firma può verificare la legittimità di una firma anche dopo che il certificato è scaduto o è stato revocato, estendendo la fiducia del codice e del software firmati.

Verifica l'integrità del codice: Esegui una revisione completa del codice prima di firmare e rilasciare la build finale confrontando il codice nel server di build con il repository del codice sorgente e verifica tutte le firme degli sviluppatori per assicurarti che non siano manomesse.

Gestione centralizzata: Le aziende oggi sono globali. Un processo di firma del codice centralizzato può aiutare a monitorare le attività di firma e i certificati in tutta l'azienda, indipendentemente da dove si trovano gli sviluppatori. Migliora la visibilità, crea responsabilità ed elimina le vulnerabilità della sicurezza.

Applicare le politiche: Standardizza il processo di firma del codice definendo e mappando le policy, tra cui autorizzazioni di utilizzo delle chiavi, approvazioni, scadenza delle chiavi, tipo di CA, dimensione della chiave, tipo di algoritmo di firma e altro ancora. Automatizza l'applicazione delle policy per garantire che tutto il codice, i file e il software siano firmati in base alla policy e siano conformi agli standard di settore.

Semplifica la firma del codice: L'integrazione e l'automazione della firma del codice con strumenti CI/CD semplifica il processo per DevOps senza compromettere la sicurezza, promuovendo velocità e agilità.

In un mondo di integrazione e distribuzione continue, le migliori pratiche di firma del codice rappresentano un modo prezioso per creare fiducia nel processo di sviluppo e consentire una catena di fornitura del software più sicura.

Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
Fonte: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security

Intelligenza generativa dei dati

8 strategie per migliorare la sicurezza della firma del codice

Il viaggio verso la firma del codice integrata

AVC

Google Play Store ora può scaricare contemporaneamente più app Android

L'ultima intelligenza

🔴ETF Ethereum in ritardo | Questa settimana in Crypto – 11 marzo 2024

In salute e in malattia: una guida per il caregiver per trovare forza e speranza – World News Report – Connessione al programma sulla marijuana medica

Clean Group annuncia una nuova sede di uffici nel CBD di Sydney e servizi di pulizia commerciale migliorati - World News Report - Connessione al programma sulla marijuana medica

Massimizzare i profitti nel 2024: uno sguardo completo a ValueZone.AI

Il Segretario della Difesa britannico rivela la fornitura italiana di missili Storm Shadow all'Ucraina

Copertura in diretta: SpaceX lancerà 23 satelliti Starlink sul volo Falcon 9 da Cape Canaveral