今天,几乎所有事情都依赖于代码。软件几乎渗透到我们生活的方方面面;从我们每天使用的产品和机器到支持整个社会的关键基础设施。很难想象一个企业、政府机构、其他实体或设备在某种程度上不依赖软件。
曾经有一段时间,最终用户可以信任他们下载的软件。不幸的是,情况已不再如此。随着黑客和其他网络犯罪分子越来越擅长传播恶意软件,即使是信息技术 (IT) 专业人员也很难知道他们购买的软件产品是否合法。更不用说笔记本电脑、移动设备和物联网 (IoT) 设备的自动软件更新了。
由于采用了持续集成和持续交付 (CI/CD) 以及构建和测试自动化工具,应用程序和运营团队的行动速度比以往任何时候都快,这意味着能够直接看到整个过程中发生的事情的人眼越来越少。管道。不良行为者已经认识到这一点,并在这些快速变化的复杂环境中寻找弱点,在软件供应链的几乎任何位置注入或修改恶意代码。这可以是通过组织的 CI/CD 管道进入或影响开发代码的任何内容,直到它被部署到生产中(即软件依赖项、组织的源代码存储库或危及构建服务器)。
这就是代码签名的用武之地。
代码签名是开发人员用来证明软件真实性的一种加密方法。它可以防止更改代码并创建信任链。就像 SSL 证书作为一种身份验证形式来识别网站一样,代码签名证书是开发人员用来签署应用程序和软件的一类特殊数字证书。
代码签名证书允许软件的任何接收者通过确认开发软件的公司名称等信息来验证其合法性——其运作方式与数字世界的驾驶执照非常相似。
一旦使用代码签名证书对软件进行签名,这意味着具有该有效签名的软件的任何版本都没有被第三方更改过。确认工作主体在传输过程中没有被更改非常重要,因为对软件代码的任何更改都可能表明存在恶意活动。签名代码意味着最终用户看到和体验到的正是软件创建者想要的。
代码签名的信任和完整性完全取决于组织签名密钥的安全性。在当今的威胁环境中,与代码签名证书相关联的私钥是黑客可以进行的最大偷窃行为之一,因为获得代码签名证书的这一部分意味着他们可以创建看似合法的新软件,并且来自信誉良好的来源。
此信任链中的单个漏洞可能会对企业造成严重损害。快速撤销和重新颁发证书、通知受影响的用户以及推出新签署的更新的过程非常昂贵。更不用说,与用户、业务合作伙伴和投资者重新建立信任可能是一个漫长而艰巨的过程。
除了密钥盗窃之外,其他常见漏洞还包括签名违规和内部滥用。如果黑客可以进入对代码签名密钥具有开放访问权限的开发人员工作站,他们甚至可以在不窃取适当的私钥的情况下对恶意代码进行签名。一旦发生这种情况,他们可以简单地提交他们的软件进行签名和发布。此外,如果开发人员可以公开访问相应的代码签名密钥并意外滥用或放错位置,他们可以为黑客创造一个渗透操作的机会。
一旦安全团队认识到并了解这些漏洞,他们就可以采取许多措施来防范这些漏洞,从而在软件供应链中建立更多的信任。
组织遇到的最常见挑战是以有效满足开发人员和 IT 安全团队需求的方式实施代码签名。为开发人员提供过多的访问权限会使流程容易受到攻击。但是,访问权限太少会在开发过程中产生摩擦,并且团队可能会规避安全策略。获得正确的平衡需要对私有代码签名密钥进行全面保护,以便它们保持在安全位置并且只能由受限用户访问。
通常,安全团队缺乏对签名过程的可见性和控制。部署可以集中可见性和控制的技术,使安全团队能够轻松审计所有内容,可以大大有助于应对这一挑战。拥有正确的技术可以帮助安全团队跟踪和监控代码签名活动,为代码签名证书和签名尝试创建审计日志,并集中和标准化谁可以签署代码的策略。
确保开发人员不会规避安全策略或意外将其暴露于风险的最佳方法是将代码签名活动集成到他们现有的 DevOps 流程中。这应该包括将任何签名工具与 DevOps 工具集成,为分布式团队启用远程签名功能,并引入在进行任何代码签名之前必须进行的检查和验证。
代码签名是一个持续的过程。 证书在某个时候会过期,密钥和算法可能会随着时间的推移而减弱,威胁也会不断演变。 密切关注所有代码签名活动,审核所有密钥使用情况,并在任何更广泛的 PKI 证书管理活动中覆盖代码签名证书,这不仅有助于安全团队更早发现威胁,而且还确保所有控制措施到位 保护代码签名证书随着时间的推移得到适当维护。
在我们这个软件驱动的世界里,信任就是一切。 确保组织的安全和开发团队共同努力保护用于代码签名的数字证书和密钥是确保其软件保持安全和可信的关键——使代码签名成为安全软件供应链的关键部分。