Automatisation de la signature de code dans le cloud avec les services CI/CD

Voir tous les guides

La méthode CI/CD de gros volumes et de déploiements fréquents est la pierre angulaire d'équipes agiles et d'une livraison de logiciels efficace des cycles de vie. Cependant, les pipelines automatisés peut exposer une entreprise à des cyberattaques débilitantes. Bien que la signature de code soit automatisée sous une forme ou une autre, la protection des clés privées et des certificats de signature est généralement effectuée manuellement, ce qui expose ensuite une entreprise à des cybercriminels prédateurs.   

Des pratiques telles que le partage de clés privées mettent le pipeline en danger pour les pirates. Une fuite dans le pipeline peut entraîner un retard de production, une perte financière et des produits et services compromis.    

Rappelons que l'attaque majeure de la chaîne d'approvisionnement de 2020 contre le logiciel de surveillance informatique Orion de SolarWinds et nombre de ses clients au sein du gouvernement était due à l'infiltration de sa plate-forme de construction de logiciels et à l'injection de logiciels malveillants dans son pipeline. 

Le service de signature de code cloud eSigner de SSL.com protège vos clés privées et vos identifiants de signature tout en permettant une intégration facile avec les services CI/CD et la signature automatisée, tout en gardant votre pipeline CI/CD bien huilé.

 

SSL.com EV Signature du code Les certificats aident à protéger votre code contre les falsifications non autorisées et les compromis avec le plus haut niveau de validation, et sont disponibles pour aussi peu que 249 $ par année. Vous pouvez également utilisez votre certificat EV Code Signing à grande échelle dans le cloud avec eSigner. Avec son option automatisée, eSigner convient à la signature de code d'entreprise.

COMMANDER MAINTENANT

Améliorez votre pipeline avec la signature de code cloud automatisée SSL.com

Avec la signature de code automatisée basée sur eSigner de SSL.com, toute la longueur de votre pipeline CI/CD peut être sécurisée. Même avec une configuration de travail asynchrone, votre équipe d'ingénieurs peut avoir l'assurance que les logiciels qu'ils partagent sont authentique et exempt de modifications non autorisées.

La meilleure caractéristique de notre service de signature de code est que nous fournissons une authentification automatisée avec rapidité et évolutivité. Vous n'avez plus à souffrir d'une autorisation de connexion manuelle ou d'une opération de signature de code qui stagne la construction de votre logiciel. Ne vous inquiétez plus des clés privées partagées qui risquent d'être compromises. Plus besoin de vous soucier du matériel externe tel que les jetons USB pour les certificats de signature de code Extended Validation. Fini les retards de production. Vous aurez un pipeline non obstrué qui livre dans les délais. 

eSigner : signature de code en tant que service

Plateformes d'automatisation eSigner

La boîte à outils eSigner dispose de deux plates-formes de signature qui offrent des solutions pour l'automatisation de la signature de code.

CodeSignTool : CodeSignTool est un utilitaire de ligne de commande pour Signature de code EV des certificats pouvant être utilisés sur diverses plates-formes, notamment Windows, macOS et Linux. Il est particulièrement utile pour signer des fichiers sensibles car seuls les hachages des fichiers sont envoyés à SSL.com pour signature, au lieu du code lui-même. CodeSignTool est également idéal pour créer automatisé processus, tels que la signature de plusieurs fichiers par lots ou les workflows de pipeline d'intégration continue/livraison continue (CI/CD). Pour plus de détails concernant commandes, options et paramètres pris en charge pour CodeSignTool, merci de vous référer à notre article, Guide des commandes eSigner CodeSignTool. Et pour un guide sur la façon d'utiliser CodeSignTool pour signer des objets sans être invité à entrer manuellement l'OTP pour chaque fichier, veuillez lire notre article de guide, Automatisez la signature de code eSigner EV.

Apis: Grâce à l'API eSigner CSC, les entreprises clientes de SSL.com peuvent accéder au même Consortium de signature en nuage (CSC) et API de signature de code qui alimentent CodeSignTool pour le développement de leurs propres applications de signature de code frontales. Pour savoir comment utiliser notre API, veuillez lire notre article, API eSigner et eSigner Express pour la signature de code de document et EV dans le cloud.

Sécurisez vos fichiers

Notre signature de code automatisée est basée sur une API qui est un service RESTful. Si une entreprise souhaite faire signer des milliers de logiciels de manière automatisée, vous pouvez écrire un script qui peut appeler notre API de signature de code. Cela nécessite uniquement que le hachage du fichier soit envoyé sur le fil, garantissant que le fichier complet ne quitte pas les locaux de votre réseau. L'eSigner de SSL.com prend en charge à la fois la validation étendue (EV) et la validation d'organisation (OV).

Notre signature de code automatisée basée sur eSigner sécurise divers espaces de travail de développement de logiciels, y compris plusieurs serveurs d'automatisation (Jenkins, Github Actions, Gitlab CI, Circle CI et Travis CI) et les langages de programmation.

Construire en douceur

Avec une signature de code automatisée basée sur le hachage, vos flux de travail CI/CD peuvent atteindre à la fois rapidité et sécurité. L'eSigner de SSL.com vous permet de signer de grandes quantités de logiciels, ce qui permet une livraison plus rapide aux clients.  

Faites l'expérience de signatures bien gérées

La signature de code automatisée avec eSigner évite les erreurs telles que les clés privées non sécurisées par vos ingénieurs lors de la création de leurs scripts d'automatisation. 

Avec la signature de code automatisée alimentée par eSigner de SSL.com, vous pouvez attribuer des rôles de signature et de gestion à des employés spécifiques. Vous saurez qui était le signataire du code et quand la signature a été effectuée. À tout moment, vous pouvez contrôler ou modifier les privilèges de signature. 

À l'aide d'eSigner, la signature de code sécurisée peut être mise en œuvre dans l'ensemble de votre pipeline, du début à la fin. Cela vous protège des attaques de la chaîne d'approvisionnement qui ont été observées comme causées par des logiciels malveillants injectés par des pirates lors des premières phases d'une construction de logiciel non sécurisée.

eSigner CKA (adaptateur de clé cloud)

eSigner CKA de SSL.com est un plug-in Microsoft Crypto Next Generation (CNG) qui permet aux outils Windows tels que certutil.exe et signtool.exe d'utiliser l'API conforme à eSigner Cloud Signature Consortium (CSC) pour les opérations de signature de code. 

eSiger CKA prend en charge la signature de code EV automatisée ajoutée pour les environnements CI/CD. Cela améliore la sécurité du pipeline DevOps en garantissant que les composants logiciels partagés par les ingénieurs sont authentifiés avec un certificat SSL.com EV Code Signing. Les pirates ne peuvent donc pas compromettre le processus de construction de votre logiciel, car un fichier malveillant qu'ils tentent d'injecter sera identifié comme n'ayant pas été signé avec eSigner CKA. Même si vos ingénieurs travaillent selon des horaires et des emplacements différents, ils peuvent être assurés que le logiciel qu'ils partagent sur votre plate-forme CI/CD est légitime. 

Pour savoir comment installer et utiliser eSigner CKA, rendez-vous sur notre article : Comment automatiser la signature de code EV avec Signtool.exe ou Certutil.exe à l'aide d'eSigner CKA (adaptateur de clé cloud)

Guides d'intégration de services CI/CD spécifiques

eSigner Cloud Code Signing peut être intégré dans presque tous les services CI/CD. Vous trouverez ci-dessous des guides spécifiques pour quelques-uns des services les plus populaires utilisant les outils mentionnés ci-dessus.

Pour les utilisateurs de Github qui ont besoin d'une bibliothèque pour intégrer EV Code Signing eSigner avec GitHub Actions CI/CD afin qu'ils puissent utiliser la signature de code eSigner dans leur processus de publication automatisé, cliquez sur ceci lien pour accéder à des ressources utiles.

Résumé

La signature de code automatisée avec eSigner de SSL.com fournit un environnement protégé et géré de manière centralisée pour sécuriser vos composants logiciels, vos clés privées, vos informations d'identification et vos enregistrements de signature. Étant donné qu'eSigner peut être intégré de manière transparente aux meilleurs services CI / CD, les ingénieurs et les gestionnaires de logiciels peuvent se concentrer davantage sur leur rôle principal de développement de programmes sans avoir à se soucier de compromis de code. Les fonctionnalités avantageuses d'eSigner peuvent être résumées dans les points suivants :

  • Une interface dynamique permet l'intégration avec divers services CI/CD.
  • Les composants logiciels à chaque étape du pipeline CI/CD peuvent être signés et sécurisés.
  • Toutes les activités de signature de code dans le pipeline peuvent être automatisées.
  • La signature dans le cloud permet une approche pratique de la signature du code d'entreprise
SSL.com Signature de code OV / IV Les certificats sont un moyen économique de protéger votre code contre les altérations et les compromis non autorisés, et sont disponibles pour aussi peu que 64.50 $ par année.

COMMANDER MAINTENANT

Pour plus d'informations sur un abonnement eSigner et des certificats de signature de code, y compris des solutions à volume élevé et personnalisées, veuillez contacter  Ou remplissez le formulaire ci-dessous.

 

Twitter
Facebook
LinkedIn
Reddit
Email

Équipe d'assistance SSL

Tous les messages "

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.

Répondez au sondage