O que é a verificação de malware SSL.com?
Malware Scan é um novo serviço oferecido pela SSL.com para desenvolvedores de software que utilizam certificados de assinatura de código para garantir que o código esteja livre de malware antes de ser assinado.Benefícios da verificação de malware
O Malware Scan adiciona uma camada extra de defesa aos certificados de assinatura de código. Caso seja detectado malware no código, a assinatura é imediatamente impedida de ser realizada e o usuário é informado para que ações preventivas sejam tomadas. Os desenvolvedores, editores e distribuidores de software agora podem incorporar malware automatizado e assinatura de código nos ambientes de CI/CD. Apesar da assinatura de código ser automatizada de alguma forma, a proteção de chaves privadas e certificados de assinatura geralmente é feita manualmente, colocando-os em risco de serem roubados. Depois que as gangues de ransomware e outros agentes mal-intencionados conseguem invadir o ambiente de produção de uma editora de software, eles podem injetar malware secretamente no processo de criação e causar consequências desastrosas. Isso é o que o Malware Scan impede.SSL.com's EV Assinatura de código certificados ajudam a proteger seu código contra adulteração e comprometimento não autorizados com o mais alto nível de validação e estão disponíveis por apenas $ 249 por ano. Você também pode use seu certificado de assinatura de código EV em escala na nuvem usando eSigner.
Assinatura de código na nuvem eSigner
Para poder usar o serviço Malware Scan, os clientes do SSL.com primeiro precisam adquirir um certificado de assinatura de código EV e inscrevê-lo em nosso serviço de assinatura de código em nuvem eSigner assim que o certificado for emitido. O eSigner permite que os desenvolvedores de software assinem e carimbem convenientemente seu código na nuvem, sem a necessidade de tokens USB, HSMs ou outro hardware especial. Ao armazenar o certificado de assinatura de código EV na nuvem, o eSigner permite que os engenheiros de software assinem seus códigos com segurança sem se preocupar em perder um token USB, ter seus certificados de assinatura de código roubados por hackers ou excluir acidentalmente um arquivo pfx. Os principais benefícios da assinatura de código baseada em eSigner + Malware Scan são explicados abaixo:- Os engenheiros de software que trabalham em equipes podem ter certeza de que as peças de software que estão passando uns para os outros estão completamente livres de malware
- Se o ambiente de produção for injetado com malware, o Malware Scan adiciona uma camada adicional de defesa ao reconhecer a ameaça, solicitando que os engenheiros protejam seu pipeline de construção e evitem novos ataques.
- Os editores e distribuidores de software podem ter certeza de que os produtos finais de software que estão vendendo aos clientes são genuínos e totalmente funcionais, incluindo os de instaladores e atualizações de software.
Como usar a verificação de malware
Ativando a verificação de malware em sua conta SSL.com
Habilitar o serviço Malware Scan em sua conta SSL.com é o primeiro passo antes de poder usar o serviço no eSigner Express, eSigner CodeSignTool, eSigner APi ou Assinatura eletrônica CKA.-
- Desloque-se até o ASSINAR CREDENCIAIS seção e localize a parte que mostra suas credenciais de certificado eSigner. Certifique-se de que os botões de opção que dizem credencial de assinatura habilitada e a bloqueador de malware ativado são escolhidos. Isso permitirá que você use o serviço Malware Scan em cada kit de ferramentas eSigner.
- Desloque-se até o ASSINAR CREDENCIAIS seção e localize a parte que mostra suas credenciais de certificado eSigner. Certifique-se de que os botões de opção que dizem credencial de assinatura habilitada e a bloqueador de malware ativado são escolhidos. Isso permitirá que você use o serviço Malware Scan em cada kit de ferramentas eSigner. Por outro lado, se você clicar no botão de opção para bloqueador de malware desativado, você poderá assinar seu código sem usar o serviço Malware Scan.
Usando a verificação de malware no eSigner Express
- Envie seu arquivo para o eSigner Express.
- Após o upload, você será solicitado a inserir o código de autenticação de dois fatores.
- Se o arquivo que você carregou contiver código malicioso, o eSigner Express piscará este aviso e impedirá a assinatura: hash que precisa assinar é um hash de objeto de malware
- Se você desativar o Malware Scan na página do seu pedido, o eSigner Express irá avisá-lo imediatamente.
Usando a verificação de malware no CodeSignTool
- Ative o Malware Scan na página do seu pedido.
- Introduzir o Placa comando no CodeSignTool. Para obter mais informações sobre os comandos do CodeSignTool, consulte nosso artigo: Guia de Comando eSigner CodeSignTool.
- Se o código que você está tentando assinar no CodeSignTool estiver infectado com malware, a assinatura falhará e você receberá o aviso, Erro: o hash que precisa ser assinado é um hash de objeto de malware
Usando a verificação de malware na API eSigner
Nesta demonstração, o Postman foi usado para chamar a API eSigner.- Ative o Malware Scan na sua página de pedidos SSL.com. carteiro Configurações de digitalização então mostrará “malware_scan_enabled”: verdadeiro.
- Se o arquivo que você carregou no Postman contiver malware, o processo de assinatura será interrompido e você será imediatamente avisado.
Usando a verificação de malware no eSigner Cloud Key Adapter (CKA)
- Clique na bloqueador de malware ativado botão de opção na página de pedidos do SSL.com.
- Instale Adaptador de chave de nuvem eSigner.
- Instale o eSigner CodeSignTool.
- Digitalize o código no CodeSignTool usando o seguinte comando:
scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME>
- Use SignTool para assinar o código com eSigner CKA usando o seguinte comando:
"SignTool File path" sign /fd sha256 /tr
http://ts.ssl.com
/td sha256 /sha1 certificate thumbprint "inputFilePath"
parâmetros:
-input_file_path=<PATH>
: Caminho do objeto de código a ser assinado.-username=<USERNAME>
: Nome de usuário da conta SSL.com-password=<PASSWORD>
: Senha da conta SSL.com.-program_name=<PROGRAM_NAME>
: Nome do programa-credential_id=<CREDENTIAL_ID>
: ID da credencial para o certificado de assinatura. Sua ID de credencial eSigner está localizada na mesma seção da página de pedido de certificado SSL.com, onde os botões de opção para verificação de malware também estão ativados.- Caminho do arquivo SignTool: caminho do arquivo de instalação para SignTool
SSL.com's EV Assinatura de código certificados ajudam a proteger seu código contra adulteração e comprometimento não autorizados com o mais alto nível de validação e estão disponíveis por apenas $ 249 por ano. Você também pode use seu certificado de assinatura de código EV em escala na nuvem usando eSigner.
Como desativar a verificação de malware
Devido à forma como os arquivos msix são compilados, neste momento você precisará desativar a verificação de malware. SSL.com está trabalhando para integrar a verificação de malware para arquivos .MSIX e fornecerá uma atualização assim que esse recurso estiver disponível.
- Faça login em sua conta SSL.com. Clique Encomendas no menu superior. Localize seu pedido na lista exibida e clique no botão download link para exibir os detalhes do seu certificado. Clique na seta ou no Mostrar detalhes link para o ASSINAR CREDENCIAIS seção.
- Clique no botão de opção para bloqueador de malware desativado.
- Agora você pode assinar seus arquivos sem passar pela verificação de malware.
Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou apenas clique no link de bate-papo no canto inferior direito desta página. Você também pode encontrar respostas para muitas perguntas de suporte comuns em nosso Base de Conhecimento.