Comment utiliser l'analyse des logiciels malveillants avant la signature avec SSL.com eSigner

Qu'est-ce que l'analyse des logiciels malveillants SSL.com ?

Malware Scan est un nouveau service offert par SSL.com aux développeurs de logiciels utilisant des certificats de signature de code pour s'assurer que le code est exempt de logiciels malveillants avant d'être signé. 

Avantages de l'analyse des logiciels malveillants

Malware Scan ajoute une couche de défense supplémentaire aux certificats de signature de code. Si un logiciel malveillant est détecté dans le code, la signature est immédiatement bloquée et l'utilisateur est informé afin qu'une action préventive puisse être entreprise.  Les développeurs, les éditeurs et les distributeurs de logiciels peuvent désormais intégrer des logiciels malveillants automatisés et la signature de code dans les environnements CI/CD. Bien que la signature de code soit automatisée sous une forme ou une autre, la protection des clés privées et des certificats de signature est généralement effectuée manuellement, ce qui les expose au risque d'être volés. Une fois que les gangs de rançongiciels et d'autres acteurs malveillants sont capables de pirater l'environnement de production d'une société d'édition de logiciels, ils peuvent secrètement injecter des logiciels malveillants dans le processus de construction et avoir des conséquences désastreuses. C'est ce que Malware Scan empêche. 

SSL.com EV Signature du code Les certificats aident à protéger votre code contre les falsifications non autorisées et les compromis avec le plus haut niveau de validation, et sont disponibles pour aussi peu que 249 $ par année. Vous pouvez également utilisez votre certificat EV Code Signing à grande échelle dans le cloud avec eSigner.

COMMANDER MAINTENANT

Signature de code cloud eSigner

Pour pouvoir utiliser le service Malware Scan, les clients SSL.com doivent d'abord acheter un certificat de signature de code EV et l'inscrire à notre service de signature de code cloud eSigner une fois le certificat émis. eSigner permet aux développeurs de logiciels de signer et d'horodater facilement leur code sur le cloud, sans avoir besoin de jetons USB, de HSM ou d'autres matériels spéciaux.  En stockant le certificat de signature de code EV sur le cloud, eSigner permet aux ingénieurs logiciels de signer leur code en toute sécurité sans avoir à craindre de perdre un jeton USB, de se faire voler leurs certificats de signature de code par des pirates ou de supprimer accidentellement un fichier pfx.  Les principaux avantages de la signature de code basée sur eSigner + Malware Scan sont expliqués ci-dessous :
  • Les ingénieurs logiciels travaillant en équipe peuvent être sûrs que les logiciels qu'ils se transmettent sont totalement exempts de logiciels malveillants
  • Si l'environnement de production est injecté avec des logiciels malveillants, Malware Scan ajoute une couche de défense supplémentaire en reconnaissant la menace, incitant les ingénieurs à sécuriser leur pipeline de construction et à prévenir de nouvelles attaques. 
  • Les éditeurs et distributeurs de logiciels peuvent être sûrs que les produits logiciels finaux qu'ils vendent aux clients sont authentiques et entièrement fonctionnels, y compris ceux des installateurs et des mises à jour logicielles.   

Comment utiliser l'analyse des logiciels malveillants

Activation de l'analyse des logiciels malveillants sur votre compte SSL.com

L'activation du service Malware Scan sur votre compte SSL.com est une première étape avant de pouvoir utiliser le service sur eSigner Express, eSigner CodeSignTool, eSigner APi ou Signataire électronique CKA.
    1. Faites défiler jusqu'à la SIGNATURE DES IDENTIFICATIONS section et localisez la partie indiquant vos informations d'identification de certificat eSigner. Assurez-vous que les boutons radio indiquant identifiant de signature activé et bloqueur de logiciels malveillants activé sont choisis. Ceux-ci vous permettront d'utiliser le service Malware Scan sur chacune des boîtes à outils eSigner.
    2. Faites défiler jusqu'à la SIGNATURE DES IDENTIFICATIONS section et localisez la partie indiquant vos informations d'identification de certificat eSigner. Assurez-vous que les boutons radio indiquant identifiant de signature activé et bloqueur de logiciels malveillants activé sont choisis. Ceux-ci vous permettront d'utiliser le service Malware Scan sur chacune des boîtes à outils eSigner. D'un autre côté, si vous cliquez sur le bouton radio pour bloqueur de malware désactivé, vous pourrez signer votre code sans utiliser le service Malware Scan.

Utilisation de Malware Scan sur eSigner Express

  1. Téléchargez votre fichier sur eSigner Express.
  2. Après le téléchargement, vous serez invité à entrer le code d'authentification à deux facteurs.
  3. Si le fichier que vous avez téléchargé contient du code malveillant, eSigner Express affichera cet avertissement et empêchera la signature : le hachage qui doit être signé est un hachage d'objet malveillant
  4. Si vous désactivez Malware Scan sur votre page de commande, eSigner Express vous avertira immédiatement.

Utilisation de Malware Scan sur CodeSignTool

  1. Activez Malware Scan sur votre page de commande.
  2. Entrer le Signe commande sur CodeSignTool. Pour plus d'informations sur les commandes de CodeSignTool, veuillez consulter notre article : Guide des commandes eSigner CodeSignTool.
  3. Si le code que vous essayez de signer sur CodeSignTool est infecté par un logiciel malveillant, la signature échouera et vous recevrez l'avertissement, Erreur : le hachage qui doit être signé est un hachage d'objet malveillant

Utilisation de Malware Scan sur l'API eSigner

Dans cette démo, Postman a été utilisé pour appeler l'API eSigner.
  1. Activez Malware Scan sur votre page de commande SSL.com. Facteur Paramètres de numérisation montrera alors "malware_scan_enabled": vrai.
  2. Si le fichier que vous avez téléchargé sur Postman contient des logiciels malveillants, le processus de signature s'arrêtera et vous serez rapidement averti.

Utilisation de Malware Scan sur l'adaptateur de clé cloud eSigner (CKA)

  1. Cliquez bloqueur de logiciels malveillants activé bouton radio sur votre page de commande SSL.com.
  2. Vidir rapide Adaptateur de clé cloud eSigner
  3. Installez eSigner CodeSignTool.
  4. Scannez le code sur CodeSignTool à l'aide de la commande suivante : scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Utilisez SignTool pour signer le code avec eSigner CKA en utilisant la commande suivante : "SignTool File path" sign /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certificate thumbprint "inputFilePath"

Paramètres:

  • -input_file_path=<PATH>: Chemin de l'objet de code à signer.
  • -username=<USERNAME>: nom d'utilisateur du compte SSL.com
  • -password=<PASSWORD>: mot de passe du compte SSL.com.
  • -program_name=<PROGRAM_NAME>: Nom du programme
  • -credential_id=<CREDENTIAL_ID>: ID d'identification pour la signature du certificat. Votre ID d'identification eSigner se trouve dans la même section de votre page de commande de certificat SSL.com où les boutons radio pour Malware Scan sont également activés.
  • Chemin du fichier SignTool : chemin du fichier d'installation pour SignTool

SSL.com EV Signature du code Les certificats aident à protéger votre code contre les falsifications non autorisées et les compromis avec le plus haut niveau de validation, et sont disponibles pour aussi peu que 249 $ par année. Vous pouvez également utilisez votre certificat EV Code Signing à grande échelle dans le cloud avec eSigner.

COMMANDER MAINTENANT

Comment désactiver l'analyse des logiciels malveillants

En raison de la façon dont les fichiers msix sont compilés, vous devrez à ce stade désactiver l'analyse des logiciels malveillants.. SSL.com travaille à l'intégration de Malware Scan pour les fichiers .MSIX et fournira une mise à jour une fois que cette fonctionnalité sera disponible.
Pour désactiver le service Malware Scan, reportez-vous aux instructions suivantes.
  1. Connectez-vous à votre compte SSL.com. Cliquez sur Commandes dans le menu supérieur. Localisez votre commande dans la liste affichée puis cliquez sur le download lien pour afficher les détails de votre certificat. Cliquez sur la flèche ou sur le Afficher les détails lien pour le SIGNATURE DES IDENTIFICATIONS .
  2. Cliquez sur le bouton radio pour bloqueur de malware désactivé

  3. Vous pouvez maintenant procéder à la signature de vos fichiers sans passer par une analyse de logiciels malveillants.
Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECURE, ou cliquez simplement sur le lien de discussion en bas à droite de cette page. Vous pouvez également trouver des réponses à de nombreuses questions d'assistance courantes dans notre knowledgebase.
Twitter
Facebook
LinkedIn
Reddit
Email

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.