大量和频繁部署的 CI/CD 方法可能会使公司面临削弱网络攻击的风险。 尽管代码签名以某种形式自动进行,但私钥和签名证书的保护通常是手动完成的,这会将公司暴露给掠夺性的网络犯罪分子。
共享私钥等做法会使管道面临黑客的风险。 管道泄漏可能导致生产延迟、财务损失以及产品和服务受损。
回想一下,2020 年针对 SolarWinds 的 Orion IT 监控软件及其许多政府客户的主要供应链攻击是由于其软件构建平台被渗透,并且在其管道中注入了恶意软件。
SSL.com 的 eSigner 云代码签名服务可保护您的私钥和签名凭据,同时清晰记录所有代码签名,同时保持您的 CI/CD 管道运行良好。
使用 SSL.com 自动代码签名增强您的管道
使用 SSL.com 的基于 eSigner 的自动代码签名,您的 CI/CD 管道的整个长度都可以得到保护。 即使使用异步工作设置,您的工程师团队也可以确保他们彼此共享的软件部分经过身份验证。
我们的代码签名服务的最佳功能是我们提供具有速度和可扩展性的自动身份验证。 您不再需要忍受基于手动的登录授权或代码签名操作而使您的软件构建停滞不前。 不再担心共享私钥有被泄露的风险。 不再耽误生产。 您将拥有一个按计划交付的畅通管道。
eSigner:代码签名即服务
电子签名自动化平台
eSigner 工具包有两个签名平台,为代码签名自动化提供解决方案。
代码签名工具: CodeSign工具 是一个命令行实用程序 EV代码签名 可跨各种平台使用的证书,包括 Windows、macOS 和 Linux。 它对于签署敏感文件特别有用,因为只有文件的哈希值被发送到 SSL.com 进行签名,而不是代码本身。 CodeSignTool 也是创建 自动化 流程,例如批量签署多个文件或持续集成/持续交付 (CI/CD) 管道工作流。 有关更多详细信息 支持的命令、选项和参数 对于 CodeSignTool,请参阅我们的文章, eSigner CodeSignTool命令指南. 有关如何使用 CodeSignTool 对对象进行签名而不被提示为每个文件手动输入 OTP 的指南,请阅读我们的指南文章, 自动执行eSigner EV代码签名.
蜜蜂: 通过 eSigner CSC API,SSL.com 的企业客户可以访问相同的 云签名联盟 (CSC) 和 代码签名 API 为开发自己的前端代码签名应用程序提供强大的 CodeSignTool。 要了解如何使用我们的 API,请阅读我们的文章, 用于云文档和EV代码签名的eSigner API和eSigner Express.
保护您的文件
我们的自动代码签名基于作为 RESTful 服务的 API。 如果一家公司希望以自动方式签署数千个软件,您可以编写一个可以调用我们的代码签名 API 的脚本。 这只需要通过网络发送文件的哈希值,确保完整的文件不会离开您的网络场所。 SSL.com 的电子签名器支持扩展验证 (EV) 和组织验证 (OV)。
我们基于 eSigner 的自动代码签名可保护各种软件开发工作空间,包括多个自动化服务器(Jenkins、 Github Actions、Gitlab CI、Circle CI 和 Travis CI)和编程语言。
顺利构建
通过基于哈希的自动代码签名,您的 CI/CD 工作流程可以实现速度和安全性。 SSL.com 的电子签名使您能够签署大量软件,从而更快地交付给客户。
体验管理良好的签约
使用 eSigner 进行自动代码签名可避免工程师在构建自动化脚本时未保护私钥等错误。
通过 SSL.com 的 eSigner 支持的自动代码签名,您可以将签名和管理角色分配给特定员工。 您将知道代码签名者是谁以及何时执行签名。 您可以随时控制或更改签名权限。
使用 eSigner,可以在整个管道中从头到尾实施安全代码签名。 这可以保护您免受供应链攻击,这些攻击是由黑客在不安全软件构建的早期阶段注入的恶意软件引起的。
eSigner CKA(云密钥适配器)
SSL.com 的 eSigner CKA 是 Microsoft Crypto Next Generation (CNG) 插件,它允许 certutil.exe 和 signtool.exe 等 Windows 工具使用 eSigner CSC 进行代码签名操作。
eSiger CKA 支持为 CI/CD 环境添加的自动 EV 代码签名。 通过确保工程师共享的软件组件通过 SSL.com EVCS 证书进行身份验证,这增强了 DevOps 管道的安全性。 因此,可以防止黑客破坏您的软件构建过程,因为他们尝试注入的恶意文件将被识别为未使用 eSigner CKA 签名。 即使您的工程师在不同的时间表和地点工作,他们也可以放心,他们在您的 CI/CD 平台上彼此共享的软件是合法的。
要了解如何安装和使用 eSigner CKA,请参阅我们的文章: 如何使用 eSigner CKA(云密钥适配器)使用 Signtool.exe 或 Certutil.exe 自动执行 EV 代码签名.
将 EVCS eSigner 与 GitHub Actions CI/CD 集成
对于需要将 EVCS eSigner 与 GitHub Actions CI/CD 集成的库以便他们可以在其自动发布过程中使用 eSigner 代码签名的 Github 用户,请单击此 链接 访问有用的资源。
总结
使用 SSL.com 的 eSigner 自动进行代码签名提供了一个受保护和集中管理的环境,用于保护您的软件组件、私钥、凭据和签名记录。 由于 eSigner 可以与顶级 CI/CD 服务无缝集成,软件工程师和管理人员可以更加专注于开发程序的主要角色,而不必担心黑客。 eSigner的优势可以总结为以下几点:
- 动态接口允许与各种 CI/CD 服务集成。
- CI/CD 管道每个阶段的软件组件都可以签名和保护。
- 管道中的所有代码签名活动都可以自动化。