El método CI/CD de alto volumen e implementaciones frecuentes es la piedra angular de los equipos ágiles y la entrega eficiente de software ciclos de vida. Sin embargo, las canalizaciones automatizadas puede poner a una empresa en riesgo de ataques cibernéticos debilitantes. A pesar de que la firma de código está automatizada de alguna forma, la protección de las claves privadas y la firma de certificados generalmente se realiza manualmente, lo que luego expone a una empresa a los ciberdelincuentes depredadores.
Prácticas como compartir claves privadas ponen la canalización en riesgo para los piratas informáticos. Una fuga en la tubería puede provocar retrasos en la producción, pérdidas financieras y productos y servicios comprometidos.
Recuerde que el principal ataque a la cadena de suministro de 2020 contra el software de monitoreo de TI Orion de SolarWinds y muchos de sus clientes en el gobierno se debió a la infiltración de su plataforma de creación de software y la inyección de malware en su canalización.
El servicio de firma de código en la nube eSigner de SSL.com protege sus claves privadas y sus credenciales de firma al mismo tiempo que permite una fácil integración con los servicios de CI/CD y la firma automatizada, todo mientras mantiene su proceso de CI/CD bien engrasado.
Mejore su canalización con la firma de código en la nube automatizada de SSL.com
Con la firma de código automatizada basada en eSigner de SSL.com, se puede proteger toda la longitud de su canalización de CI/CD. Incluso con una configuración de trabajo asíncrona, su equipo de ingenieros puede tener la seguridad de que las piezas de software que comparten entre sí son auténtica y libre de cambios no autorizados.
La mejor característica de nuestro servicio de firma de código es que brindamos autenticación automatizada con velocidad y escalabilidad. Ya no tiene que sufrir con una autorización de inicio de sesión manual o una operación de firma de código que estanca la creación de su software. No más preocupaciones sobre las claves privadas compartidas en riesgo de verse comprometidas. No se preocupe más por el hardware externo, como los tokens USB para los certificados de firma de código de validación extendida. No más retrasos en la producción. Tendrá una tubería sin obstrucciones que entregará a tiempo.
eSigner: firma de código como servicio
Plataformas de automatización de firmas electrónicas
El kit de herramientas eSigner tiene dos plataformas de firma que ofrecen soluciones para la automatización de firma de código.
Herramienta de firma de código: Herramienta CodeSign es una utilidad de línea de comandos para Firma de código EV certificados que se pueden usar en varias plataformas, incluidas Windows, macOS y Linux. Es especialmente útil para firmar archivos confidenciales, ya que solo los hash de los archivos se envían a SSL.com para su firma, en lugar del código en sí. CodeSignTool también es ideal para crear soluciones procesos, como la firma de varios archivos en lotes o flujos de trabajo de integración continua/entrega continua (CI/CD). Para obtener más detalles sobre los comandos, opciones y parámetros compatibles con CodeSignTool, consulte nuestro artículo, Guía de comandos de eSigner CodeSignTool. Y para obtener una guía sobre cómo usar CodeSignTool para firmar objetos sin que se le solicite la entrada manual de OTP para cada archivo, lea nuestro artículo de guía, Automatizar la firma de código de eSigner EV.
APIs: A través de eSigner CSC API, los clientes empresariales de SSL.com pueden acceder al mismo Consorcio de firma en la nube (CSC) y API de firma de código que impulsan CodeSignTool para el desarrollo de sus propias aplicaciones de firma de código front-end. Para saber cómo usar nuestra API, lea nuestro artículo, eSigner API y eSigner Express para firma de código EV y documentos en la nube.
Asegure sus archivos
Nuestra firma de código automatizada se basa en una API que es un servicio RESTful. Si una empresa quiere tener miles de piezas de software firmadas de forma automatizada, puede escribir un script que pueda llamar a nuestra API de firma de código. Esto requiere que solo se envíe el hash del archivo por cable, lo que garantiza que el archivo completo no abandone las instalaciones de su red. El eSigner de SSL.com es compatible tanto con la validación extendida (EV) como con la validación de la organización (OV).
Nuestra firma de código automatizada basada en eSigner protege varios espacios de trabajo de desarrollo de software, incluidos múltiples servidores de automatización (Jenkins, Github Actions, Gitlab CI, Circle CI y Travis CI) y lenguajes de programación.
construir sin problemas
Con una firma de código automatizada basada en hash, sus flujos de trabajo de CI/CD pueden lograr velocidad y seguridad. El eSigner de SSL.com le permite firmar grandes cantidades de volumen de software, lo que permite una entrega más rápida a los clientes.
Experimenta fichajes bien gestionados
La firma de código automatizada con eSigner evita errores como que sus ingenieros no protejan las claves privadas al crear sus scripts de automatización.
Con la firma de código automatizada impulsada por eSigner de SSL.com, puede asignar funciones de firma y administración a empleados específicos. Sabrá quién fue el firmante del código y cuándo se realizó la firma. En cualquier momento, puede controlar o cambiar los privilegios de firma.
Con eSigner, la firma de código seguro se puede implementar en toda su canalización, de principio a fin. Esto lo protege de los ataques a la cadena de suministro que se han observado como causados por malware inyectado por piratas informáticos en las primeras fases de una compilación de software insegura.
eSigner CKA (adaptador de clave en la nube)
eSigner CKA de SSL.com es un complemento de Microsoft Crypto Next Generation (CNG) que permite que herramientas de Windows como certutil.exe y signtool.exe usen la API compatible con eSigner Cloud Signature Consortium (CSC) para operaciones de firma de código.
eSiger CKA admite la firma de código EV automatizada agregada para entornos CI/CD. Esto mejora la seguridad de la canalización de DevOps al garantizar que los componentes de software que comparten los ingenieros estén autenticados con un certificado de firma de código EV de SSL.com. Por lo tanto, se evita que los piratas informáticos comprometan su proceso de creación de software porque un archivo malicioso que intentan inyectar se identificará como no firmado con eSigner CKA. Incluso si sus ingenieros trabajan en diferentes horarios y ubicaciones, pueden estar seguros de que la pieza de software que comparten entre sí en su plataforma de CI/CD es legítima.
Obtenga más información sobre cómo integrar eSigner CKA con herramientas CI/CD populares visitando esta guía: Cómo integrar eSigner CKA con herramientas de CI/CD para la firma de código automatizada.
Guías específicas de integración de servicios de CI/CD
eSigner Cloud Code Signing se puede integrar en casi cualquier servicio de CI/CD. A continuación se encuentran guías específicas para algunos de los servicios más populares que utilizan las herramientas mencionadas anteriormente.
- Integración de firma de código en la nube con CircleCI
- Integración de firma de código en la nube con acciones de GitHub
- Integración de firma de código en la nube con GitLab CI
- Integración de firma de código en la nube con Travis CI
- Integración de firma de código en la nube con Jenkins CI
- Integración de firma de código en la nube con Azure DevOps
- Integración de firma de código en la nube con BitBucket
Para los usuarios de Github que necesitan una biblioteca para integrar EV Code Signing eSigner con GitHub Actions CI/CD para que puedan usar la firma de código eSigner en su proceso de lanzamiento automatizado, haga clic aquí liga para acceder a recursos útiles.
Resum
La firma de código automatizada con eSigner de SSL.com proporciona un entorno protegido y administrado centralmente para asegurar sus componentes de software, claves privadas, credenciales y registros de firma. Debido a que eSigner se puede integrar perfectamente con los principales servicios de CI/CD, los ingenieros y gerentes de software pueden concentrarse más en su función principal de desarrollar programas sin tener que preocuparse por compromiso de código. Las características ventajosas de eSigner se pueden resumir en los siguientes puntos:
- Una interfaz dinámica permite la integración con varios servicios de CI/CD.
- Los componentes de software en cada etapa de la canalización de CI/CD se pueden firmar y proteger.
- Todas las actividades de firma de código en la canalización se pueden automatizar.
- La firma en la nube permite un enfoque conveniente para la firma de código empresarial
Para obtener información sobre una suscripción de eSigner y certificados de firma de código, incluidas soluciones personalizadas y de gran volumen, comuníquese con ventas@ssl.com o complete el formulario a continuación.