Automatización de la firma de código en la nube con servicios de CI/CD

Ver todas las guías

El método CI/CD de alto volumen e implementaciones frecuentes es la piedra angular de los equipos ágiles y la entrega eficiente de software ciclos de vida. Sin embargo, las canalizaciones automatizadas puede poner a una empresa en riesgo de ataques cibernéticos debilitantes. A pesar de que la firma de código está automatizada de alguna forma, la protección de las claves privadas y la firma de certificados generalmente se realiza manualmente, lo que luego expone a una empresa a los ciberdelincuentes depredadores.   

Prácticas como compartir claves privadas ponen la canalización en riesgo para los piratas informáticos. Una fuga en la tubería puede provocar retrasos en la producción, pérdidas financieras y productos y servicios comprometidos.    

Recuerde que el principal ataque a la cadena de suministro de 2020 contra el software de monitoreo de TI Orion de SolarWinds y muchos de sus clientes en el gobierno se debió a la infiltración de su plataforma de creación de software y la inyección de malware en su canalización. 

El servicio de firma de código en la nube eSigner de SSL.com protege sus claves privadas y sus credenciales de firma al mismo tiempo que permite una fácil integración con los servicios de CI/CD y la firma automatizada, todo mientras mantiene su proceso de CI/CD bien engrasado.

 

SSL.com's EV Firma de código Los certificados ayudan a proteger su código de manipulaciones no autorizadas y compromisos con el más alto nivel de validación, y están disponibles por tan solo $ 249 por año. También puedes use su certificado de firma de código EV a escala en la nube usando eSigner. Con su opción automatizada, eSigner es adecuado para la firma de códigos empresariales.

HAZ TU PEDIDO

Mejore su canalización con la firma de código en la nube automatizada de SSL.com

Con la firma de código automatizada basada en eSigner de SSL.com, se puede proteger toda la longitud de su canalización de CI/CD. Incluso con una configuración de trabajo asíncrona, su equipo de ingenieros puede tener la seguridad de que las piezas de software que comparten entre sí son auténtica y libre de cambios no autorizados.

La mejor característica de nuestro servicio de firma de código es que brindamos autenticación automatizada con velocidad y escalabilidad. Ya no tiene que sufrir con una autorización de inicio de sesión manual o una operación de firma de código que estanca la creación de su software. No más preocupaciones sobre las claves privadas compartidas en riesgo de verse comprometidas. No se preocupe más por el hardware externo, como los tokens USB para los certificados de firma de código de validación extendida. No más retrasos en la producción. Tendrá una tubería sin obstrucciones que entregará a tiempo. 

eSigner: firma de código como servicio

Plataformas de automatización de firmas electrónicas

El kit de herramientas eSigner tiene dos plataformas de firma que ofrecen soluciones para la automatización de firma de código.

Herramienta de firma de código: Herramienta CodeSign es una utilidad de línea de comandos para Firma de código EV certificados que se pueden usar en varias plataformas, incluidas Windows, macOS y Linux. Es especialmente útil para firmar archivos confidenciales, ya que solo los hash de los archivos se envían a SSL.com para su firma, en lugar del código en sí. CodeSignTool también es ideal para crear soluciones procesos, como la firma de varios archivos en lotes o flujos de trabajo de canalización de integración continua/entrega continua (CI/CD). Para más detalles sobre comandos, opciones y parámetros admitidos para CodeSignTool, consulte nuestro artículo, Guía de comandos de eSigner CodeSignTool. Y para obtener una guía sobre cómo usar CodeSignTool para firmar objetos sin que se le solicite la entrada manual de OTP para cada archivo, lea nuestro artículo de guía, Automatizar la firma de código de eSigner EV.

APIs: A través de eSigner CSC API, los clientes empresariales de SSL.com pueden acceder al mismo Consorcio de firma en la nube (CSC) y API de firma de código que impulsan CodeSignTool para el desarrollo de sus propias aplicaciones de firma de código front-end. Para saber cómo usar nuestra API, lea nuestro artículo, eSigner API y eSigner Express para firma de código EV y documentos en la nube.

Asegure sus archivos

Nuestra firma de código automatizada se basa en una API que es un servicio RESTful. Si una empresa quiere tener miles de piezas de software firmadas de forma automatizada, puede escribir un script que pueda llamar a nuestra API de firma de código. Esto requiere que solo se envíe el hash del archivo por cable, lo que garantiza que el archivo completo no abandone las instalaciones de su red. El eSigner de SSL.com es compatible tanto con la validación extendida (EV) como con la validación de la organización (OV).

Nuestra firma de código automatizada basada en eSigner protege varios espacios de trabajo de desarrollo de software, incluidos varios servidores de automatización (Jenkins, Github Actions, Gitlab CI, Circle CI y Travis CI) y lenguajes de programación.

construir sin problemas

Con una firma de código automatizada basada en hash, sus flujos de trabajo de CI/CD pueden lograr velocidad y seguridad. El eSigner de SSL.com le permite firmar grandes cantidades de volumen de software, lo que permite una entrega más rápida a los clientes.  

Experimenta fichajes bien gestionados

La firma de código automatizada con eSigner evita errores como que sus ingenieros no protejan las claves privadas al crear sus scripts de automatización. 

Con la firma de código automatizada impulsada por eSigner de SSL.com, puede asignar funciones de firma y administración a empleados específicos. Sabrá quién fue el firmante del código y cuándo se realizó la firma. En cualquier momento, puede controlar o cambiar los privilegios de firma. 

Con eSigner, la firma de código seguro se puede implementar en toda su canalización, de principio a fin. Esto lo protege de los ataques a la cadena de suministro que se han observado como causados ​​por malware inyectado por piratas informáticos en las primeras fases de una compilación de software insegura.

eSigner CKA (adaptador de clave en la nube)

eSigner CKA de SSL.com es un complemento de Microsoft Crypto Next Generation (CNG) que permite que herramientas de Windows como certutil.exe y signtool.exe usen la API compatible con eSigner Cloud Signature Consortium (CSC) para operaciones de firma de código. 

eSiger CKA admite la firma de código EV automatizada agregada para entornos CI/CD. Esto mejora la seguridad de la canalización de DevOps al garantizar que los componentes de software que comparten los ingenieros estén autenticados con un certificado de firma de código EV de SSL.com. Por lo tanto, se evita que los piratas informáticos comprometan su proceso de creación de software porque un archivo malicioso que intentan inyectar se identificará como no firmado con eSigner CKA. Incluso si sus ingenieros trabajan en diferentes horarios y ubicaciones, pueden estar seguros de que la pieza de software que comparten entre sí en su plataforma de CI/CD es legítima. 

Para saber cómo instalar y usar eSigner CKA, diríjase a nuestro artículo: Cómo automatizar la firma de código EV con Signtool.exe o Certutil.exe usando eSigner CKA (adaptador de clave de nube)

Guías específicas de integración de servicios de CI/CD

eSigner Cloud Code Signing se puede integrar en casi cualquier servicio de CI/CD. A continuación se encuentran guías específicas para algunos de los servicios más populares que utilizan las herramientas mencionadas anteriormente.

Para los usuarios de Github que necesitan una biblioteca para integrar EV Code Signing eSigner con GitHub Actions CI/CD para que puedan usar la firma de código eSigner en su proceso de lanzamiento automatizado, haga clic aquí liga para acceder a recursos útiles.

Resumen

La firma de código automatizada con eSigner de SSL.com proporciona un entorno protegido y administrado centralmente para asegurar sus componentes de software, claves privadas, credenciales y registros de firma. Debido a que eSigner se puede integrar perfectamente con los principales servicios de CI/CD, los ingenieros y gerentes de software pueden concentrarse más en su función principal de desarrollar programas sin tener que preocuparse por compromiso de código. Las características ventajosas de eSigner se pueden resumir en los siguientes puntos:

  • Una interfaz dinámica permite la integración con varios servicios de CI/CD.
  • Los componentes de software en cada etapa de la canalización de CI/CD se pueden firmar y proteger.
  • Todas las actividades de firma de código en la canalización se pueden automatizar.
  • La firma en la nube permite un enfoque conveniente para la firma de código empresarial
SSL.com's Firma de código OV / IV Los certificados son una forma económica de proteger su código de manipulaciones y compromisos no autorizados, y están disponibles por tan solo $ 64.50 por año.

HAZ TU PEDIDO

Para obtener información sobre una suscripción de eSigner y certificados de firma de código, incluidas soluciones personalizadas y de gran volumen, comuníquese con  o complete el formulario a continuación.

 

Twitter
Facebook
Etiqueta LinkedIn
Reddit
Correo electrónico

Equipo de soporte de SSL

Todos los mensajes "

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.

Tomar encuesta