Athugasemd
Nýlegar fréttir um að tölvuþrjótar hafi brotið gegn fyrirtæki með fjaraðgangslausnum AnyDesk varpað hörðu ljósi á nauðsyn þess að fyrirtæki taki langa og vandlega skoðun á aðferðum við kóðaundirritun til að tryggja öruggari aðfangakeðju hugbúnaðar.
Kóðaundirskrift bætir stafrænni undirskrift við hugbúnað, fastbúnað eða forrit sem tryggir að notendakóði kemur frá traustum uppruna og hefur ekki verið átt við hann síðan síðast var undirritaður. En kóðaundirritun er aðeins eins góð og framkvæmd hans og ófullnægjandi starfshættir geta leitt til innspýtingar á spilliforritum, átt við kóða og hugbúnað og árásir á eftirlíkingu.
Vernda þarf einkalykla, en margir forritarar (aðallega af þægindaástæðum) viðhalda sínum eigin lyklum og geyma þá í staðbundnum vélum sínum eða smíða netþjóna. Þetta gerir þá opna fyrir þjófnaði og misnotkun og skapar blinda bletti fyrir öryggisteymi.
Eftir að SolarWinds hakk árið 2020 gaf vettvangur vottunaryfirvalda/vafra (CA/B) út nýtt sett af grunnkröfur til að viðhalda kóðaundirritunarvottorðum sem kveða á um notkun vélbúnaðaröryggiseininga (HSM), tækja sem viðhalda og tryggja dulritunarlykla, auk annarra ráðstafana til að vernda einkalykla.
HSM-tæki veita hæsta öryggi, en þau auka einnig kostnað, flókið og viðhaldskröfur. Nema hægt sé að samþætta þau inn í kóðaundirritunarverkfærin sem DevOps teymið notar, getur aftengingin flækt kóðaundirritunaraðganginn og hægt á ferlinu.
Flutningur yfir í skýið hefur sett öryggi í meiri forgang, en skýið býður einnig upp á lausn við kóðaundirritun. Skýjakóða undirskrift og HSM geta veitt þeim hraða og lipurð sem þróunaraðilar vilja, auk miðstýrðrar stjórnunar sem styður dreifð þróunarteymi, fellur inn í þróunarferlana og auðveldara er að fylgjast með öryggi.
Ferðin til samþættrar kóðaundirritunar
Með nýlegum breytingum frá CA/B málþing, það er kominn tími til að stofnanir fari í ferðalag til að nútímavæða kóðaundirritun sína með miðstýrðri stjórn til að styðja þróunarteymi. Mörg fyrirtæki eru áfram á „ad hoc“ stigi, þar sem lyklum er viðhaldið á staðnum og forritarar nota margs konar kóðaundirritunarferli og verkfæri. Aðrir hafa miðstýrt eftirlit til að veita öryggisteymum sýnileika og stjórnun með því að nota HSM til að tryggja lykla, en notkun aðskilinna kóðaundirritunarverkfæra hefur samt áhrif á hraða hugbúnaðarþróunar.
Hin fullkomna, þroskaða uppbygging krefst samþættingar á lykilöryggi, kóðaundirritunarverkfærum og þróunarvinnuflæði til að gera ferlið óaðfinnanlegt og straumlínulaga í öllum smíðum, gámum, gripum og keyrslum. Öryggisteymi hafa umsjón með HSM-tækjunum og öðlast fullan sýnileika í kóðaundirritun, en forritarar eru nú með lipra og hraðvirka þróunarleiðslu.
Nokkrar bestu starfsvenjur geta hjálpað til við að ryðja brautina í þessari ferð:
-
Tryggðu lyklana þína: Geymdu kóðaundirritunarlykla á öruggum stað, svo sem HSM sem uppfyllir CA/B Forum dulritunarkröfur (FIPS 140-2 Level 2 eða Common Criteria EAL 4+). HSM-tæki eru þolinmóð og koma í veg fyrir að einkalyklar séu fluttir út.
-
Stjórna aðgangi: Lágmarka hættuna á óviðkomandi aðgangi og misnotkun einkalykla með því að takmarka aðgang með hlutverkatengdri aðgangsstýringu. Skilgreindu samþykkisvinnuflæði og framfylgja öryggisstefnu til að stjórna aðgangi að nauðsynlegu starfsfólki og viðhalda endurskoðunarskrám sem skráir hver kveikti undirskriftarbeiðnina, hverjir fengu aðgang að lyklunum og hvers vegna.
-
Snúa lyklum: Ef einn lykill er í hættu eru allar útgáfur sem eru undirritaðar með honum í hættu á málamiðlun. Snúðu kóðaundirritunarlyklum reglulega og notaðu einstaka og aðskilda lykla til að undirrita mismunandi útgáfur í mörgum DevOps teymum.
-
Tímamerkiskóði: Skírteini fyrir kóðaundirritun hafa takmarkaðan líftíma - eitt til þrjú ár og minnkar. Tímastimplunarkóði við undirritun getur sannreynt lögmæti undirskriftar, jafnvel eftir að skírteinið hefur runnið út eða verið afturkallað, sem eykur traust undirritaðs kóða og hugbúnaðar.
-
Athugaðu heilleika kóða: Framkvæmdu heildarkóðaskoðun áður en þú undirritar og sleppir endanlegri byggingu með því að bera saman kóðann á byggingarþjóninum við frumkóðageymsluna og sannreyna allar undirskriftir þróunaraðila til að ganga úr skugga um að ekki sé átt við þær.
-
Miðstýrðu stjórnun: Fyrirtæki í dag eru alþjóðleg. Miðstýrt kóðaundirritunarferli getur hjálpað til við að fylgjast með undirritunarstarfsemi og vottorðum í fyrirtækinu, óháð því hvar þróunaraðilar eru staðsettir. Það bætir sýnileika, byggir upp ábyrgð og útrýmir öryggisveikleikum.
-
Framfylgja reglum: Staðlaðu kóðaundirritunarferlið með því að skilgreina og kortleggja stefnur, þar á meðal lykilnotkunarheimildir, samþykki, lyklaútrunnið, CA-gerð, lykilstærð, gerð undirskriftaralgríms og fleira. Gerðu sjálfvirka framfylgni stefnu til að tryggja að allir kóðar, skrár og hugbúnaður séu undirritaðir á grundvelli stefnu og séu í samræmi við iðnaðarstaðla.
-
Einfaldaðu kóðaundirskrift: Að samþætta og sjálfvirka kóðaundirritun með CI/CD verkfærum einfaldar ferlið fyrir DevOps án þess að skerða öryggi á sama tíma og það stuðlar að hraða og lipurð.
Í heimi samfelldrar samþættingar og stöðugrar dreifingar, veita sterkar bestu starfsvenjur kóðaundirritunar ómetanlega leið til að byggja upp traust í þróunarferlinu og gera aðfangakeðju hugbúnaðarins öruggari.
- SEO knúið efni og PR dreifing. Fáðu magnara í dag.
- PlatoData.Network Vertical Generative Ai. Styrktu sjálfan þig. Aðgangur hér.
- PlatoAiStream. Web3 upplýsingaöflun. Þekking aukin. Aðgangur hér.
- PlatóESG. Kolefni, CleanTech, Orka, Umhverfi, Sól, Úrgangsstjórnun. Aðgangur hér.
- PlatoHealth. Líftækni og klínísk rannsóknagreind. Aðgangur hér.
- Heimild: https://www.darkreading.com/cybersecurity-operations/8-strategies-enhancing-code-signing-security
