大批量频繁部署的 CI/CD 方法 是敏捷团队和高效软件交付的基石 生命周期. 但是,自动化流水线 可以使公司面临削弱网络攻击的风险。 尽管代码签名以某种形式自动化,但私钥和签名证书的保护通常是手动完成的,这会使公司暴露在掠夺性的网络犯罪分子面前。
共享私钥等做法会使管道面临黑客的风险。 管道泄漏可能导致生产延迟、财务损失以及产品和服务受损。
回想一下,2020 年针对 SolarWinds 的 Orion IT 监控软件及其许多政府客户的主要供应链攻击是由于其软件构建平台被渗透并且恶意软件被注入其管道。
SSL.com 的 eSigner 云代码签名服务可保护您的私钥和签名凭证,同时支持与 CI/CD 服务和自动签名的轻松集成,同时保持您的 CI/CD 管道运行良好。
使用 SSL.com 自动云代码签名增强您的管道
使用 SSL.com 的基于 eSigner 的自动代码签名,您的 CI/CD 管道的整个长度都可以得到保护。 即使使用异步工作设置,您的工程师团队也可以确保他们彼此共享的软件是 真实且无未经授权的更改。
我们的代码签名服务的最佳功能是我们提供具有速度和可扩展性的自动身份验证。 您不再需要遭受基于手动的登录授权或代码签名操作而使您的软件构建停滞不前。 不再担心共享私钥有被泄露的风险。 无需再担心用于扩展验证代码签名证书的 USB 令牌等外部硬件。 不再耽误生产。 您将拥有一个按计划交付的畅通管道。
eSigner:代码签名即服务
电子签名自动化平台
eSigner 工具包有两个签名平台,为代码签名自动化提供解决方案。
代码签名工具: CodeSign工具 是一个命令行实用程序 EV代码签名 可跨各种平台使用的证书,包括 Windows、macOS 和 Linux。 它对于签署敏感文件特别有用,因为只有文件的哈希值被发送到 SSL.com 进行签名,而不是代码本身。 CodeSignTool 也是创建 自动化 流程,例如批量签署多个文件或持续集成/持续交付 (CI/CD) 管道工作流。 有关更多详细信息 支持的命令、选项和参数 对于 CodeSignTool,请参阅我们的文章, eSigner CodeSignTool命令指南. 有关如何使用 CodeSignTool 对对象进行签名而不被提示为每个文件手动输入 OTP 的指南,请阅读我们的指南文章, 自动执行eSigner EV代码签名.
蜜蜂: 通过 eSigner CSC API,SSL.com 的企业客户可以访问相同的 云签名联盟 (CSC) 和 代码签名 API 为开发自己的前端代码签名应用程序提供强大的 CodeSignTool。 要了解如何使用我们的 API,请阅读我们的文章, 用于云文档和EV代码签名的eSigner API和eSigner Express.
保护您的文件
我们的自动代码签名基于作为 RESTful 服务的 API。 如果一家公司希望以自动方式签署数千个软件,您可以编写一个可以调用我们的代码签名 API 的脚本。 这只需要通过网络发送文件的哈希值,确保完整的文件不会离开您的网络场所。 SSL.com 的电子签名器支持扩展验证 (EV) 和组织验证 (OV)。
我们基于 eSigner 的自动代码签名可保护各种软件开发工作空间,包括多个自动化服务器(Jenkins、 Github Actions、Gitlab CI、Circle CI 和 Travis CI)和编程语言。
顺利构建
通过基于哈希的自动代码签名,您的 CI/CD 工作流程可以实现速度和安全性。 SSL.com 的电子签名使您能够签署大量软件,从而更快地交付给客户。
体验管理良好的签约
使用 eSigner 进行自动代码签名可避免工程师在构建自动化脚本时未保护私钥等错误。
通过 SSL.com 的 eSigner 支持的自动代码签名,您可以将签名和管理角色分配给特定员工。 您将知道代码签名者是谁以及何时执行签名。 您可以随时控制或更改签名权限。
使用 eSigner,可以在整个管道中从头到尾实施安全代码签名。 这可以保护您免受供应链攻击,这些攻击是由黑客在不安全软件构建的早期阶段注入的恶意软件引起的。
eSigner CKA(云密钥适配器)
SSL.com 的 eSigner CKA 是 Microsoft Crypto Next Generation (CNG) 插件,允许 certutil.exe 和 signtool.exe 等 Windows 工具使用符合 eSigner Cloud Signature Consortium (CSC) 标准的 API 进行代码签名操作。
eSiger CKA 支持为 CI/CD 环境添加的自动 EV 代码签名。 通过确保工程师共享的软件组件通过 SSL.com EV 代码签名证书进行身份验证,这增强了 DevOps 管道的安全性。 因此,可以防止黑客破坏您的软件构建过程,因为他们尝试注入的恶意文件将被识别为未使用 eSigner CKA 签名。 即使您的工程师在不同的时间表和地点工作,他们也可以放心,他们在您的 CI/CD 平台上彼此共享的软件是合法的。
要了解如何安装和使用 eSigner CKA,请参阅我们的文章: 如何使用 eSigner CKA(云密钥适配器)使用 Signtool.exe 或 Certutil.exe 自动执行 EV 代码签名.
特定 CI/CD 服务集成指南
eSigner 云代码签名可以集成到几乎任何 CI/CD 服务中。 以下是使用上述工具的一些最受欢迎的服务的具体指南。
- 与 CircleCI 的云代码签名集成
- 云代码签名与 GitHub Actions 的集成
- 云代码签名与 GitLab CI 的集成
- 云代码签名与 Travis CI 的集成
- 云代码签名与 Jenkins CI 的集成
- 云代码签名与 Azure DevOps 的集成
- 与 BitBucket 的云代码签名集成
对于需要将 EV 代码签名 eSigner 与 GitHub Actions CI/CD 集成的库的 Github 用户,以便他们可以在其自动发布过程中使用 eSigner 代码签名,请单击此 链接 访问有用的资源。
总结
使用 SSL.com 的 eSigner 自动进行代码签名提供了一个受保护和集中管理的环境,用于保护您的软件组件、私钥、凭据和签名记录。 由于 eSigner 可以与顶级 CI/CD 服务无缝集成,因此软件工程师和管理人员可以更加专注于开发程序的主要角色,而不必担心 代码妥协. eSigner的优势可以总结为以下几点:
- 动态接口允许与各种 CI/CD 服务集成。
- CI/CD 管道每个阶段的软件组件都可以签名和保护。
- 管道中的所有代码签名活动都可以自动化。
- 云签名为企业代码签名提供了一种便捷的方法
有关 eSigner 订阅和代码签名证书的信息,包括大批量和自定义解决方案,请联系 sales@ssl.com 或填写下面的表格。
