Cómo usar el escaneo de malware previo a la firma con SSL.com eSigner

¿Qué es SSL.com Malware Scan?

Malware Scan es un nuevo servicio ofrecido por SSL.com a los desarrolladores de software que utilizan certificados de firma de código para garantizar que el código esté libre de malware antes de ser firmado. 

Beneficios de la exploración de malware

Malware Scan agrega una capa adicional de defensa a los certificados de firma de código. Si se detecta malware en el código, se impide inmediatamente la firma y se informa al usuario para que tome medidas preventivas.  Los desarrolladores, editores y distribuidores de software ahora pueden incorporar malware automatizado y firma de código en los entornos de CI/CD. A pesar de que la firma de código está automatizada de alguna forma, la protección de las claves privadas y los certificados de firma generalmente se realizan manualmente, lo que los pone en riesgo de ser robados. Una vez que las pandillas de ransomware y otros actores maliciosos pueden piratear el entorno de producción de una empresa de publicación de software, pueden inyectar malware en secreto en el proceso de creación y causar consecuencias desastrosas. Esto es lo que previene Malware Scan. 

SSL.com's EV Firma de código Los certificados ayudan a proteger su código de manipulaciones no autorizadas y compromisos con el más alto nivel de validación, y están disponibles por tan solo $ 249 por año. También puedes use su certificado de firma de código EV a escala en la nube usando eSigner.

HAZ TU PEDIDO

Firma de código en la nube eSigner

Para poder usar el servicio Malware Scan, los clientes de SSL.com primero deben comprar un certificado de firma de código EV e inscribirlo en nuestro servicio de firma de código en la nube eSigner una vez que se emite el certificado. eSigner permite a los desarrolladores de software firmar y marcar de manera conveniente su código en la nube, sin necesidad de tokens USB, HSM u otro hardware especial.  Al almacenar el certificado de firma de código EV en la nube, eSigner permite a los ingenieros de software firmar su código de manera segura sin tener que preocuparse por perder un token USB, que los piratas informáticos roben sus certificados de firma de código o eliminar accidentalmente un archivo pfx.  Los principales beneficios de la firma de código basada en eSigner + Malware Scan se explican a continuación:
  • Los ingenieros de software que trabajan en equipos pueden estar seguros de que las piezas de software que se pasan entre sí están completamente libres de malware.
  • Si se inyecta malware en el entorno de producción, Malware Scan agrega una capa adicional de defensa al reconocer la amenaza, lo que incita a los ingenieros a proteger su canal de compilación y evitar más ataques. 
  • Los editores y distribuidores de software pueden estar seguros de que los productos de software finales que venden a los clientes son genuinos y totalmente funcionales, incluidos los de los instaladores y las actualizaciones de software.   

Cómo utilizar el análisis de malware

Habilitar el análisis de malware en su cuenta SSL.com

Habilitar el servicio Malware Scan en su cuenta SSL.com es el primer paso antes de poder utilizar el servicio en eSigner Express, eSigner CodeSignTool, eSigner APi o Firmante electrónico CKA.
    1. Desplázate hacia abajo hasta FIRMA DE CREDENCIALES y ubique la parte que muestra sus credenciales de certificado de firma electrónica. Asegúrese de que los botones de radio que dicen credencial de firma habilitada y bloqueador de malware habilitado son elegidos. Estos le permitirán usar el servicio Malware Scan en cada uno de los kits de herramientas de eSigner.
    2. Desplázate hacia abajo hasta FIRMA DE CREDENCIALES y ubique la parte que muestra sus credenciales de certificado de firma electrónica. Asegúrese de que los botones de radio que dicen credencial de firma habilitada y bloqueador de malware habilitado son elegidos. Estos le permitirán utilizar el servicio Malware Scan en cada uno de los kits de herramientas de eSigner. Por otro lado, si hace clic en el botón de opción para bloqueador de malware desactivado, Podrás firmar tu código sin utilizar el servicio Malware Scan.

Uso de Malware Scan en eSigner Express

  1. Sube tu archivo a eSigner Express.
  2. Después de cargar, se le solicitará el código de autenticación de dos factores.
  3. Si el archivo que cargó contiene un código malicioso, eSigner Express mostrará esta advertencia e impedirá la firma: el hash que necesita firmar es un hash de objeto de malware
  4. Si desactiva Malware Scan en su página de pedido, eSigner Express le avisará de inmediato.

Uso de escaneo de malware en CodeSignTool

  1. Habilite Malware Scan en su página de pedido.
  2. Escriba la Firme comando en CodeSignTool. Para obtener más información sobre los comandos de CodeSignTool, consulte nuestro artículo: Guía de comandos de eSigner CodeSignTool.
  3. Si el código que está intentando iniciar sesión en CodeSignTool está infectado con malware, la firma fallará y recibirá la advertencia, Error: el hash que debe firmarse es un hash de objeto de malware

Uso de Malware Scan en eSigner API

En esta demostración, se utilizó Postman para llamar a la API de eSigner.
  1. Habilite el escaneo de malware en su página de pedido de SSL.com. del cartero Configuración de escaneo entonces mostrará “malware_scan_enabled”: verdadero.
  2. Si el archivo que cargó en Postman contiene malware, el proceso de firma se detendrá y se le advertirá de inmediato.

Uso de Malware Scan en eSigner Cloud Key Adapter (CKA)

  1. Haga clic en el bloqueador de malware habilitado botón de radio en su página de pedidos de SSL.com.
  2. de Vidir Adaptador de clave eSigner Cloud
  3. Instale eSigner CodeSignTool.
  4. Escanee el código en CodeSignTool usando el siguiente comando: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Use SignTool para firmar el código con eSigner CKA usando el siguiente comando: "SignTool File path" sign /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certificate thumbprint "inputFilePath"

parámetros:

  • -input_file_path=<PATH>: Ruta del objeto de código a firmar.
  • -username=<USERNAME>: Nombre de usuario de la cuenta SSL.com
  • -password=<PASSWORD>: Contraseña de la cuenta SSL.com.
  • -program_name=<PROGRAM_NAME>: Nombre del programa
  • -credential_id=<CREDENTIAL_ID>: ID de credencial para el certificado de firma. Su Id. de credencial de eSigner se encuentra en la misma sección de la página de pedido de su certificado SSL.com, donde también están habilitados los botones de radio para Malware Scan.
  • Ruta del archivo SignTool: ruta del archivo de instalación para SignTool

SSL.com's EV Firma de código Los certificados ayudan a proteger su código de manipulaciones no autorizadas y compromisos con el más alto nivel de validación, y están disponibles por tan solo $ 249 por año. También puedes use su certificado de firma de código EV a escala en la nube usando eSigner.

HAZ TU PEDIDO

¡Gracias por elegir SSL.com! Si tiene alguna pregunta, comuníquese con nosotros por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página. También puede encontrar respuestas a muchas preguntas de soporte comunes en nuestro base de conocimientos.
Twitter
Facebook
LinkedIn
Reddit
Correo electrónico

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.