Qu'est-ce que l'analyse des logiciels malveillants SSL.com ?
Malware Scan est un nouveau service offert par SSL.com aux développeurs de logiciels utilisant des certificats de signature de code pour s'assurer que le code est exempt de logiciels malveillants avant d'être signé.Avantages de l'analyse des logiciels malveillants
Malware Scan ajoute une couche de défense supplémentaire aux certificats de signature de code. Si un logiciel malveillant est détecté dans le code, la signature est immédiatement bloquée et l'utilisateur est informé afin qu'une action préventive puisse être entreprise. Les développeurs, les éditeurs et les distributeurs de logiciels peuvent désormais intégrer des logiciels malveillants automatisés et la signature de code dans les environnements CI/CD. Bien que la signature de code soit automatisée sous une forme ou une autre, la protection des clés privées et des certificats de signature est généralement effectuée manuellement, ce qui les expose au risque d'être volés. Une fois que les gangs de rançongiciels et d'autres acteurs malveillants sont capables de pirater l'environnement de production d'une société d'édition de logiciels, ils peuvent secrètement injecter des logiciels malveillants dans le processus de construction et avoir des conséquences désastreuses. C'est ce que Malware Scan empêche.SSL.com EV Signature du code Les certificats aident à protéger votre code contre les falsifications non autorisées et les compromis avec le plus haut niveau de validation, et sont disponibles pour aussi peu que 249 $ par année. Vous pouvez également utilisez votre certificat EV Code Signing à grande échelle dans le cloud avec eSigner.
Signature de code cloud eSigner
Pour pouvoir utiliser le service Malware Scan, les clients SSL.com doivent d'abord acheter un certificat de signature de code EV et l'inscrire à notre service de signature de code cloud eSigner une fois le certificat émis. eSigner permet aux développeurs de logiciels de signer et d'horodater facilement leur code sur le cloud, sans avoir besoin de jetons USB, de HSM ou d'autres matériels spéciaux. En stockant le certificat de signature de code EV sur le cloud, eSigner permet aux ingénieurs logiciels de signer leur code en toute sécurité sans avoir à craindre de perdre un jeton USB, de se faire voler leurs certificats de signature de code par des pirates ou de supprimer accidentellement un fichier pfx. Les principaux avantages de la signature de code basée sur eSigner + Malware Scan sont expliqués ci-dessous :- Les ingénieurs logiciels travaillant en équipe peuvent être sûrs que les logiciels qu'ils se transmettent sont totalement exempts de logiciels malveillants
- Si l'environnement de production est injecté avec des logiciels malveillants, Malware Scan ajoute une couche de défense supplémentaire en reconnaissant la menace, incitant les ingénieurs à sécuriser leur pipeline de construction et à prévenir de nouvelles attaques.
- Les éditeurs et distributeurs de logiciels peuvent être sûrs que les produits logiciels finaux qu'ils vendent aux clients sont authentiques et entièrement fonctionnels, y compris ceux des installateurs et des mises à jour logicielles.
Comment utiliser l'analyse des logiciels malveillants
Activation de l'analyse des logiciels malveillants sur votre compte SSL.com
L'activation du service Malware Scan sur votre compte SSL.com est une première étape avant de pouvoir utiliser le service sur eSigner Express, eSigner CodeSignTool, eSigner APi ou Signataire électronique CKA.-
- Faites défiler jusqu'à la SIGNATURE DES IDENTIFICATIONS section et localisez la partie indiquant vos informations d'identification de certificat eSigner. Assurez-vous que les boutons radio indiquant identifiant de signature activé ainsi que bloqueur de logiciels malveillants activé sont choisis. Ceux-ci vous permettront d'utiliser le service Malware Scan sur chacune des boîtes à outils eSigner.
- Faites défiler jusqu'à la SIGNATURE DES IDENTIFICATIONS section et localisez la partie indiquant vos informations d'identification de certificat eSigner. Assurez-vous que les boutons radio indiquant identifiant de signature activé ainsi que bloqueur de logiciels malveillants activé sont choisis. Ceux-ci vous permettront d'utiliser le service Malware Scan sur chacune des boîtes à outils eSigner. D'un autre côté, si vous cliquez sur le bouton radio pour bloqueur de malware désactivé, vous pourrez signer votre code sans utiliser le service Malware Scan.
- Faites défiler jusqu'à la SIGNATURE DES IDENTIFICATIONS section et localisez la partie indiquant vos informations d'identification de certificat eSigner. Assurez-vous que les boutons radio indiquant identifiant de signature activé ainsi que bloqueur de logiciels malveillants activé sont choisis. Ceux-ci vous permettront d'utiliser le service Malware Scan sur chacune des boîtes à outils eSigner.
Utilisation de Malware Scan sur eSigner Express
- Téléchargez votre fichier sur eSigner Express.
- Après le téléchargement, vous serez invité à entrer le code d'authentification à deux facteurs.
- Si le fichier que vous avez téléchargé contient du code malveillant, eSigner Express affichera cet avertissement et empêchera la signature : le hachage qui doit être signé est un hachage d'objet malveillant
- Si vous désactivez Malware Scan sur votre page de commande, eSigner Express vous avertira immédiatement.
Utilisation de Malware Scan sur CodeSignTool
- Activez Malware Scan sur votre page de commande.
- Entrer le Signe commande sur CodeSignTool. Pour plus d'informations sur les commandes de CodeSignTool, veuillez consulter notre article : Guide des commandes eSigner CodeSignTool.
- Si le code que vous essayez de signer sur CodeSignTool est infecté par un logiciel malveillant, la signature échouera et vous recevrez l'avertissement, Erreur : le hachage qui doit être signé est un hachage d'objet malveillant
Utilisation de Malware Scan sur l'API eSigner
Dans cette démo, Postman a été utilisé pour appeler l'API eSigner.- Activez Malware Scan sur votre page de commande SSL.com. Facteur Paramètres de numérisation montrera alors "malware_scan_enabled": vrai.
- Si le fichier que vous avez téléchargé sur Postman contient des logiciels malveillants, le processus de signature s'arrêtera et vous serez rapidement averti.
Utilisation de Malware Scan sur l'adaptateur de clé cloud eSigner (CKA)
- Cliquez bloqueur de logiciels malveillants activé bouton radio sur votre page de commande SSL.com.
- Installer Adaptateur de clé cloud eSigner.
- Installez eSigner CodeSignTool.
- Scannez le code sur CodeSignTool à l'aide de la commande suivante :
scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME> - Utilisez SignTool pour signer le code avec eSigner CKA en utilisant la commande suivante :
"SignTool File path" sign /fd sha256 /trhttp://ts.ssl.com/td sha256 /sha1 certificate thumbprint "inputFilePath"
Paramètres:
-input_file_path=<PATH>: Chemin de l'objet de code à signer.-username=<USERNAME>: nom d'utilisateur du compte SSL.com-password=<PASSWORD>: mot de passe du compte SSL.com.-program_name=<PROGRAM_NAME>: Nom du programme-credential_id=<CREDENTIAL_ID>: ID d'identification pour la signature du certificat. Votre ID d'identification eSigner se trouve dans la même section de votre page de commande de certificat SSL.com où les boutons radio pour Malware Scan sont également activés.
- Chemin du fichier SignTool : chemin du fichier d'installation pour SignTool
SSL.com EV Signature du code Les certificats aident à protéger votre code contre les falsifications non autorisées et les compromis avec le plus haut niveau de validation, et sont disponibles pour aussi peu que 249 $ par année. Vous pouvez également utilisez votre certificat EV Code Signing à grande échelle dans le cloud avec eSigner.
Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECURE, ou cliquez simplement sur le lien de discussion en bas à droite de cette page. Vous pouvez également trouver des réponses à de nombreuses questions d'assistance courantes dans notre knowledgebase.
