Come utilizzare la scansione malware pre-firma con SSL.com eSigner

Che cos'è la scansione malware di SSL.com?

Malware Scan è un nuovo servizio offerto da SSL.com agli sviluppatori di software che utilizzano certificati di firma del codice per garantire che il codice sia privo di malware prima di essere firmato. 

Vantaggi della scansione malware

Malware Scan aggiunge un ulteriore livello di difesa ai certificati di firma del codice. Se viene rilevato malware nel codice, la firma viene immediatamente impedita e l'utente viene informato in modo che possa essere intrapresa un'azione preventiva.  Sviluppatori, editori e distributori di software possono ora incorporare malware automatico e firma del codice negli ambienti CI/CD. Nonostante la firma del codice sia in qualche modo automatizzata, la protezione delle chiavi private e dei certificati di firma viene solitamente eseguita manualmente, esponendoli al rischio di furto. Una volta che le bande di ransomware e altri attori malintenzionati sono in grado di hackerare l'ambiente di produzione di una società di pubblicazione di software, possono iniettare segretamente malware nel processo di creazione e causare conseguenze disastrose. Questo è ciò che Malware Scan impedisce. 

SSL.com's EV Firma del codice i certificati aiutano a proteggere il tuo codice da manomissioni e compromissioni non autorizzate con il massimo livello di convalida e sono disponibili a partire da $ 249 all'anno. È anche possibile usa il tuo certificato EV Code Signing su larga scala nel cloud utilizzando eSigner.

ORDINA ORA

Firma del codice cloud eSigner

Per poter utilizzare il servizio Malware Scan, i clienti SSL.com devono prima acquistare un certificato di firma del codice EV e registrarlo al nostro servizio di firma del codice cloud eSigner una volta emesso il certificato. eSigner consente agli sviluppatori di software di firmare e contrassegnare la data e l'ora in modo pratico sul cloud, senza bisogno di token USB, HSM o altro hardware speciale.  Memorizzando il certificato di firma del codice EV sul cloud, eSigner consente agli ingegneri del software di firmare in modo sicuro il proprio codice senza doversi preoccupare di perdere un token USB, di subire il furto dei certificati di firma del codice da parte di hacker o di eliminare accidentalmente un file pfx.  I principali vantaggi della firma del codice basata su eSigner + Malware Scan sono spiegati di seguito:
  • Gli ingegneri del software che lavorano in team possono essere certi che i pezzi software che si scambiano siano completamente privi di malware
  • Se l'ambiente di produzione viene iniettato con malware, Malware Scan aggiunge un ulteriore livello di difesa riconoscendo la minaccia, spingendo gli ingegneri a proteggere la loro pipeline di compilazione e prevenire ulteriori attacchi. 
  • Gli editori ei distributori di software possono essere certi che i prodotti software finali che vendono ai clienti sono originali e perfettamente funzionanti, compresi quelli degli installatori e gli aggiornamenti software.   

Come utilizzare la scansione malware

Abilitazione della scansione malware sul tuo account SSL.com

Abilitare il servizio Malware Scan sul tuo account SSL.com è il primo passo prima di poter utilizzare il servizio su eSigner Express, eSigner CodeSignTool, eSigner APi o Firma elettronica CKA.
    1. Scorri verso il basso fino a CREDENZIALI DI FIRMA sezione e individuare la parte che mostra le credenziali del certificato eSigner. Assicurati che i pulsanti di opzione che dicono credenziale di firma abilitata ed blocco malware abilitato vengono scelti. Questi ti permetteranno di utilizzare il servizio Malware Scan su ciascuno dei toolkit eSigner.
    2. Scorri verso il basso fino a CREDENZIALI DI FIRMA sezione e individuare la parte che mostra le credenziali del certificato eSigner. Assicurati che i pulsanti di opzione che dicono credenziale di firma abilitata ed blocco malware abilitato vengono scelti. Questi ti consentiranno di utilizzare il servizio di scansione malware su ciascuno degli strumenti di eSigner. D'altra parte, se fai clic sul pulsante di opzione per blocco malware disabilitato, potrai firmare il tuo codice senza utilizzare il servizio Scansione Malware.

Utilizzo della scansione malware su eSigner Express

  1. Carica il tuo file su eSigner Express.
  2. Dopo il caricamento, ti verrà richiesto il codice di autenticazione a due fattori.
  3. Se il file che hai caricato contiene codice dannoso, eSigner Express mostrerà questo avviso e impedirà la firma: hash che deve essere firmato è un hash oggetto malware
  4. Se disabiliti Malware Scan nella tua pagina d'ordine, eSigner Express ti avviserà immediatamente.

Utilizzo della scansione malware su CodeSignTool

  1. Abilita la scansione malware nella pagina dell'ordine.
  2. Inserire il Segno comando su CodeSignTool. Per ulteriori informazioni sui comandi CodeSignTool, fare riferimento al nostro articolo: Guida ai comandi di eSigner CodeSignTool.
  3. Se il codice che stai tentando di firmare su CodeSignTool è infetto da malware, la firma fallirà e riceverai l'avviso, Errore: l'hash che deve essere firmato è un hash oggetto malware

Utilizzo della scansione malware sull'API eSigner

In questa demo, Postman è stato utilizzato per chiamare l'API eSigner.
  1. Abilita Scansione Malware sulla tua pagina d'ordine SSL.com. del postino Impostazioni di scansione poi mostrerà "malware_scan_enabled": vero.
  2. Se il file che hai caricato su Postman contiene malware, il processo di firma si interromperà e verrai prontamente avvisato.

Utilizzo della scansione malware su eSigner Cloud Key Adapter (CKA)

  1. Clicca su blocco malware abilitato pulsante di opzione sulla pagina dell'ordine SSL.com.
  2. Installazione Adattatore per chiave cloud eSigner
  3. Installare eSigner CodeSignTool.
  4. Scansiona il codice su CodeSignTool usando il seguente comando: scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
  5. Usa SignTool per firmare il codice con eSigner CKA usando il seguente comando: "SignTool File path" sign /fd sha256 /tr http://ts.ssl.com /td sha256 /sha1 certificate thumbprint "inputFilePath"

parametri:

  • -input_file_path=<PATH>: Percorso dell'oggetto codice da firmare.
  • -username=<USERNAME>: nome utente dell'account SSL.com
  • -password=<PASSWORD>: password dell'account SSL.com.
  • -program_name=<PROGRAM_NAME>: Nome del programma
  • -credential_id=<CREDENTIAL_ID>: ID credenziali per la firma del certificato. Il tuo ID credenziale eSigner si trova nella stessa sezione della pagina dell'ordine del certificato SSL.com in cui sono abilitati anche i pulsanti di opzione per Scansione malware.
  • Percorso file SignTool: percorso del file di installazione per SignTool

SSL.com's EV Firma del codice i certificati aiutano a proteggere il tuo codice da manomissioni e compromissioni non autorizzate con il massimo livello di convalida e sono disponibili a partire da $ 249 all'anno. È anche possibile usa il tuo certificato EV Code Signing su larga scala nel cloud utilizzando eSigner.

ORDINA ORA

Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREoppure fai clic sul link della chat in basso a destra in questa pagina. Puoi anche trovare risposte a molte domande comuni di supporto nel nostro base di conoscenza.
Twitter
Facebook
LinkedIn
Reddit
Email

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.