Что такое сканирование вредоносных программ SSL.com?
Сканирование вредоносных программ — это новая услуга, предлагаемая SSL.com разработчикам программного обеспечения, использующим сертификаты для подписи кода, чтобы убедиться, что код не содержит вредоносных программ, прежде чем он будет подписан.Преимущества сканирования на наличие вредоносных программ
Сканирование вредоносных программ добавляет дополнительный уровень защиты к сертификатам подписи кода. Если в коде обнаруживается вредоносное ПО, выполнение подписи немедленно предотвращается, и пользователь информируется, чтобы можно было принять превентивные меры. Разработчики программного обеспечения, издатели и распространители теперь могут включать в среды CI/CD автоматические вредоносные программы и подписывание кода. Несмотря на то, что подпись кода в той или иной форме автоматизирована, защита закрытых ключей и сертификатов подписи обычно осуществляется вручную, что подвергает их риску кражи. Как только банды вымогателей и другие злоумышленники могут взломать производственную среду компании-издателя программного обеспечения, они могут тайно внедрить вредоносное ПО в процесс сборки и вызвать катастрофические последствия. Это то, что предотвращает сканирование вредоносных программ.SSL.com's EV Подписание кода сертификаты помогают защитить ваш код от несанкционированного вмешательства и компрометации благодаря высочайшему уровню проверки и доступны всего за $ 249 в год. Вы также можете используйте свой сертификат подписи кода EV в масштабе в облаке с помощью eSigner.
Облачная подпись кода eSigner
Чтобы иметь возможность использовать службу сканирования вредоносных программ, клиентам SSL.com сначала необходимо приобрести сертификат подписи кода EV и зарегистрировать его в нашей облачной службе подписи кода eSigner после выдачи сертификата. eSigner позволяет разработчикам программного обеспечения удобно подписывать и ставить метки времени для своего кода в облаке без использования USB-токенов, HSM или другого специального оборудования. Сохраняя сертификат подписи кода EV в облаке, eSigner позволяет разработчикам программного обеспечения безопасно подписывать свой код, не беспокоясь о потере USB-токена, краже сертификатов подписи кода хакерами или случайном удалении файла PFX. Основные преимущества подписи кода на основе eSigner + сканирование вредоносных программ объясняются ниже:- Инженеры-программисты, работающие в команде, могут быть уверены, что части программного обеспечения, которые они передают друг другу, полностью свободны от вредоносных программ.
- Если в производственную среду внедряется вредоносное ПО, Malware Scan добавляет дополнительный уровень защиты, распознавая угрозу, предлагая инженерам защитить конвейер сборки и предотвратить дальнейшие атаки.
- Издатели и распространители программного обеспечения могут быть уверены, что конечные программные продукты, которые они продают клиентам, являются подлинными и полнофункциональными, включая программы установки и обновления программного обеспечения.
Как использовать сканирование на наличие вредоносных программ
Включение сканирования на наличие вредоносных программ в вашей учетной записи SSL.com
Включение службы сканирования на наличие вредоносных программ в вашей учетной записи SSL.com — это первый шаг перед тем, как вы сможете использовать эту службу на eSigner Express, eSigner CodeSignTool, eSigner API или eSigner ЦКА.-
- Прокрутите вниз до ПОДПИСАНИЕ ПОЛНОМОЧИЙ раздел и найдите часть, показывающую ваши учетные данные сертификата eSigner. Убедитесь, что переключатели с надписью учетные данные для подписи включены и блокировщик вредоносных программ включен выбраны. Это позволит вам использовать службу сканирования вредоносных программ в каждом наборе инструментов eSigner.
- Прокрутите вниз до ПОДПИСАНИЕ ПОЛНОМОЧИЙ раздел и найдите часть, показывающую ваши учетные данные сертификата eSigner. Убедитесь, что переключатели с надписью учетные данные для подписи включены и блокировщик вредоносных программ включен выбраны. Это позволит вам использовать службу сканирования вредоносных программ в каждом наборе инструментов eSigner. С другой стороны, если вы нажмете переключатель для блокировщик вредоносных программ отключен, вы сможете подписать свой код без использования службы сканирования на наличие вредоносных программ.
- Прокрутите вниз до ПОДПИСАНИЕ ПОЛНОМОЧИЙ раздел и найдите часть, показывающую ваши учетные данные сертификата eSigner. Убедитесь, что переключатели с надписью учетные данные для подписи включены и блокировщик вредоносных программ включен выбраны. Это позволит вам использовать службу сканирования вредоносных программ в каждом наборе инструментов eSigner.
Использование сканирования на наличие вредоносных программ в eSigner Express
- Загрузите файл в eSigner Express.
- После загрузки вам будет предложено ввести код двухфакторной аутентификации.
- Если загруженный вами файл содержит вредоносный код, eSigner Express выдаст это предупреждение и предотвратит подписание: хэш, который необходимо подписать, является хэшем объекта вредоносного ПО
- Если вы отключите сканирование вредоносных программ на странице заказа, eSigner Express немедленно предупредит вас.
Использование сканирования на наличие вредоносных программ в CodeSignTool
- Включите сканирование на наличие вредоносных программ на странице заказа.
- Введите Войти команда в CodeSignTool. Для получения дополнительной информации о командах CodeSignTool, пожалуйста, обратитесь к нашей статье: Руководство по командам eSigner CodeSignTool.
- Если код, который вы пытаетесь подписать с помощью CodeSignTool, заражен вредоносным ПО, подпись завершится ошибкой, и вы получите предупреждение, Ошибка: хэш, который необходимо подписать, является хэшем вредоносного объекта
Использование сканирования вредоносных программ в eSigner API
В этой демонстрации Postman использовался для вызова eSigner API.- Включите сканирование вредоносных программ на странице заказа SSL.com. почтальона Настройки сканирования затем покажет «malware_scan_enabled»: правда.
- Если файл, который вы загрузили в Postman, содержит вредоносное ПО, процесс подписания будет остановлен, и вы будете незамедлительно предупреждены.
Использование сканирования вредоносных программ на адаптере облачного ключа eSigner (CKA)
- Нажмите блокировщик вредоносных программ включен переключатель на странице заказа SSL.com.
- Установите Адаптер облачного ключа eSigner.
- Установите eSigner CodeSignTool.
- Сканируйте код в CodeSignTool с помощью следующей команды:
scan_code [-hV] -input_file_path=<inputFilePath> -password=<PASSWORD> [-program_name=<programName>] -username=<USERNAME> - Используйте SignTool, чтобы подписать код с помощью eSigner CKA, используя следующую команду:
"SignTool File path" sign /fd sha256 /trhttp://ts.ssl.com/td sha256 /sha1 certificate thumbprint "inputFilePath"
Параметры:
-input_file_path=<PATH>: Путь к объекту кода, который нужно подписать.-username=<USERNAME>: Имя пользователя учетной записи SSL.com-password=<PASSWORD>: Пароль учетной записи SSL.com.-program_name=<PROGRAM_NAME>: Название программы-credential_id=<CREDENTIAL_ID>: Идентификатор учетных данных для сертификата подписи. Ваш идентификатор учетных данных eSigner находится в том же разделе страницы заказа сертификата SSL.com, где также включены переключатели для сканирования на наличие вредоносных программ.
- Путь к файлу SignTool: путь к установочному файлу SignTool.
SSL.com's EV Подписание кода сертификаты помогают защитить ваш код от несанкционированного вмешательства и компрометации благодаря высочайшему уровню проверки и доступны всего за $ 249 в год. Вы также можете используйте свой сертификат подписи кода EV в масштабе в облаке с помощью eSigner.
Спасибо, что выбрали SSL.com! Если у вас возникнут вопросы, свяжитесь с нами по электронной почте по адресу Support@SSL.com, вызов 1-877-SSL-SECURE, или просто нажмите ссылку чата в правом нижнем углу этой страницы. Вы также можете найти ответы на многие распространенные вопросы поддержки в нашем база знаний.
