Automazione della firma del codice cloud con servizi CI/CD

Il metodo CI/CD per volumi elevati e distribuzioni frequenti è una pietra miliare di team agili e distribuzione efficiente del software cicli vitali. Tuttavia, pipeline automatizzate può mettere un'azienda a rischio di attacchi informatici debilitanti. Nonostante la firma del codice sia in qualche modo automatizzata, la protezione delle chiavi private e la firma dei certificati viene solitamente eseguita manualmente, il che espone quindi un'azienda a criminali informatici predatori.   

Pratiche come la condivisione di chiavi private mettono la pipeline a rischio per gli hacker. Una perdita in cantiere può portare a ritardi nella produzione, perdite finanziarie e prodotti e servizi compromessi.    

Ricordiamo che il principale attacco alla catena di approvvigionamento del 2020 contro il software di monitoraggio IT Orion di SolarWinds e molti dei suoi clienti nel governo è stato dovuto all'infiltrazione della sua piattaforma di creazione del software e all'iniezione di malware nella sua pipeline. 

Il servizio di firma del codice cloud eSigner di SSL.com protegge le tue chiavi private e le credenziali di firma, consentendo al contempo una facile integrazione con i servizi CI/CD e la firma automatizzata, il tutto mantenendo ben oliata la pipeline CI/CD.

 

SSL.com's EV Firma del codice i certificati aiutano a proteggere il tuo codice da manomissioni e compromissioni non autorizzate con il massimo livello di convalida e sono disponibili a partire da $ 249 all'anno. È anche possibile usa il tuo certificato EV Code Signing su larga scala nel cloud utilizzando eSigner. Con la sua opzione automatizzata, eSigner è adatto per la firma di codici aziendali.

ORDINA ORA

Migliora la tua pipeline con la firma del codice cloud automatizzata SSL.com

Con la firma del codice automatizzata basata su eSigner di SSL.com, l'intera lunghezza della pipeline CI/CD può essere protetta. Anche con un'impostazione di lavoro asincrona, il tuo team di ingegneri può avere la certezza che i pezzi software che stanno condividendo tra loro sono autentico e privo di modifiche non autorizzate.

La caratteristica migliore del nostro servizio di firma del codice è che forniamo l'autenticazione automatizzata con velocità e scalabilità. Non devi più soffrire con un'autorizzazione di accesso manuale o un'operazione di firma del codice che ristagna la build del tuo software. Niente più preoccupazioni per le chiavi private condivise che rischiano di essere compromesse. Non dovrai più preoccuparti dell'hardware esterno come i token USB per i certificati di firma del codice di convalida estesa. Niente più ritardi nella produzione. Avrai una pipeline non intasata che consegna nei tempi previsti. 

eSigner: firma del codice come servizio

Piattaforme di automazione eSigner

Il toolkit eSigner ha due piattaforme di firma che offrono soluzioni per l'automazione della firma del codice.

CodeSignStrumento: CodeSignTool è un'utilità della riga di comando per Firma del codice EV certificati che possono essere utilizzati su varie piattaforme, inclusi Windows, macOS e Linux. È particolarmente utile per firmare file sensibili poiché solo gli hash dei file vengono inviati a SSL.com per la firma, invece del codice stesso. CodeSignTool è ideale anche per creare automatizzato processi, come la firma di più file in batch o flussi di lavoro della pipeline di integrazione continua/consegna continua (CI/CD). Per maggiori dettagli in merito comandi, opzioni e parametri supportati per CodeSignTool, fare riferimento al nostro articolo, Guida ai comandi di eSigner CodeSignTool. E per una guida su come utilizzare CodeSignTool per firmare oggetti senza che venga richiesta l'immissione manuale OTP per ogni file, leggi il nostro articolo della guida, Automatizza la firma del codice EV eSigner.

API: Attraverso l'API eSigner CSC, i clienti aziendali di SSL.com possono accedere allo stesso Consorzio per la firma del cloud (CSC) ed API per la firma del codice che alimenta CodeSignTool per lo sviluppo delle proprie app di firma del codice front-end. Per sapere come utilizzare la nostra API, leggi il nostro articolo, eSigner API ed eSigner Express per Cloud Document e EV Code Signing.

Proteggi i tuoi file

La nostra firma automatica del codice si basa su un'API che è un servizio RESTful. Se un'azienda vuole avere migliaia di pezzi software firmati in modo automatizzato, puoi scrivere uno script che può chiamare la nostra API di firma del codice. Ciò richiede che solo l'hash del file venga inviato via cavo assicurando che il file completo non lasci i locali della rete. L'eSigner di SSL.com supporta sia la convalida estesa (EV) che la convalida dell'organizzazione (OV).

La nostra firma automatica del codice basata su eSigner protegge vari spazi di lavoro di sviluppo software, inclusi più server di automazione (Jenkins, Github Actions, Gitlab CI, Circle CI e Travis CI) e linguaggi di programmazione.

Costruisci senza intoppi

Con una firma del codice automatizzata basata su hash, i flussi di lavoro CI/CD possono raggiungere velocità e sicurezza. eSigner di SSL.com ti consente di firmare grandi quantità di volume di software, portando a una consegna più rapida ai clienti.  

Sperimenta acquisti ben gestiti

La firma automatica del codice con eSigner evita errori come la mancata protezione delle chiavi private dai tecnici durante la creazione degli script di automazione. 

Con la firma del codice automatizzata basata su eSigner di SSL.com, puoi assegnare ruoli di firma e gestione a dipendenti specifici. Saprai chi era il firmatario del codice e quando è stata eseguita la firma. In qualsiasi momento, puoi controllare o modificare i privilegi di firma. 

Utilizzando eSigner, la firma sicura del codice può essere implementata nell'intera pipeline, dall'inizio alla fine. Questo ti protegge dagli attacchi alla catena di approvvigionamento che sono stati osservati come causati da malware iniettato dagli hacker nelle fasi precedenti di una build software non sicura.

eSigner CKA (adattatore chiave cloud)

L'eSigner CKA di SSL.com è un plug-in Microsoft Crypto Next Generation (CNG) che consente agli strumenti di Windows come certutil.exe e signtool.exe di utilizzare l'API conforme a eSigner Cloud Signature Consortium (CSC) per le operazioni di firma del codice. 

eSiger CKA supporta la firma automatica del codice EV aggiunta per ambienti CI/CD. Ciò migliora la sicurezza della pipeline DevOps garantendo che i componenti software condivisi dai tecnici siano autenticati con un certificato SSL.com EV Code Signing. Agli hacker viene quindi impedito di compromettere il processo di creazione del software perché un file dannoso che tentano di iniettare verrà identificato come non firmato con eSigner CKA. Anche se i tuoi ingegneri lavorano su orari e luoghi diversi, possono essere certi che il software che condividono tra loro sulla tua piattaforma CI/CD è legittimo. 

Per scoprire come installare e utilizzare eSigner CKA, vai al nostro articolo: Come automatizzare la firma del codice EV con Signtool.exe o Certutil.exe utilizzando eSigner CKA (Cloud Key Adapter)

Guide specifiche all'integrazione del servizio CI/CD

eSigner Cloud Code Signing può essere integrato in quasi tutti i servizi CI/CD. Di seguito sono riportate guide specifiche per alcuni dei servizi più popolari che utilizzano gli strumenti sopra menzionati.

Per gli utenti Github che necessitano di una libreria per l'integrazione di Firma codice EV eSigner con GitHub Actions CI/CD in modo che possano utilizzare la firma di codice eSigner nel loro processo di rilascio automatico, fare clic qui link per accedere a risorse utili.

Sommario

La firma automatica del codice con eSigner di SSL.com fornisce un ambiente protetto e gestito centralmente per proteggere i componenti software, le chiavi private, le credenziali e i record di firma. Poiché eSigner può essere integrato perfettamente con i migliori servizi CI/CD, ingegneri e manager del software possono concentrarsi maggiormente sul loro ruolo principale di sviluppo di programmi senza doversi preoccupare di codice compromesso. Le caratteristiche vantaggiose di eSigner possono essere riassunte nei seguenti punti:

  • Un'interfaccia dinamica consente l'integrazione con vari servizi CI/CD.
  • I componenti software in ogni fase della pipeline CI/CD possono essere firmati e protetti.
  • Tutte le attività di firma del codice nella pipeline possono essere automatizzate.
  • La firma nel cloud consente un approccio conveniente alla firma del codice aziendale
SSL.com's Firma del codice OV / IV i certificati sono un modo economico per proteggere il tuo codice da manomissioni e compromissioni non autorizzate e sono disponibili per un minimo di $ 64.50 all'anno.

ORDINA ORA

Per informazioni su un abbonamento eSigner e certificati di firma del codice, comprese soluzioni personalizzate e ad alto volume, contatta  oppure compila il form sottostante.

 

Twitter
Facebook
LinkedIn
Reddit
Email

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.