Von Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor
Durch das Einschleusen von bösartigem Code in Entwicklungs- und Distributionsumgebungen gelingt es Angreifern immer häufiger, Bedrohungen und Hintertüren in Software einzubetten. Da die betroffene Software für die Opfer aus vertrauenswürdiger Quelle zu stammen scheint, sind häufig erhebliche Schäden die Folge. Dauert es doch nicht selten mehrere Monate, bis jemand auf die Schwachstelle aufmerksam wird.
Code Signing, das Signieren von Code (https://www.keyfactor.com/de/education-center/what-is-code-signing/), hat sich als ein zentrales Verfahren etabliert, hier effektiv gegenzusteuern. Es ermöglicht es Entwicklern und Distributoren, die Integrität und Authentizität ihres Software-Codes sicherzustellen. Den Kern eines jeden signierten Code-Artefakts bildet ein sogenanntes Code Signing-Zertifikat (https://www.keyfactor.com/de/blog/what-is-a-code-signing-certificate/). Hierbei handelt es sich um ein X.509-Zertifikat, das mit einer verifizierten Identität und einem privaten Schlüssel verbunden ist. Ausgestellt wird es von einer vertrauenswürdigen internen oder externen Zertifizierungsstelle (https://www.keyfactor.com/de/education-center/what-is-certificate-management/) (CA).
Um eine Kompromittierung oder ein Ablaufen von Code Signing-Zertifikaten zu vermeiden, müssen diese sorgfältig verwaltet werden. Die folgenden fünf Tipps helfen Ihnen, Ihre Code Signing-Zertifikate erfolgreich zu managen:
– Zentralisieren Sie die Ausstellung und die Bestandsübersicht Ihrer Zertifikate
– Implementieren Sie richtlinienbasierte Zugriffskontrollen
– Schützen Sie Ihre privaten Schlüssel mit Hardware-basierter Sicherheit
– Automatisieren Sie die Unterzeichnungsabläufe
– Überwachen und prüfen Sie jedes Unterzeichnungsereignis
All diese Maßnahmen können und werden aber nur gelingen, wenn Ihr Zertifikatsmanagement für die erforderliche Kryptoagilität sorgen kann. Ihr Code Signing muss ebenso agil gehandhabt werden können, wie der Softwareentwicklungsprozess, dem es dient.
Helfen kann hier eine automatisierte PKI-Lösung. In Echtzeit überwacht sie die gesamte PKI-Landschaft, widerruft kompromittierte Zertifikate und erneuert solche, die auszulaufen drohen. Moderne PKI-Lösungen sind längst so weit, dass sie sich direkt in moderne DevOps- und CI/CD-Pipelines integrieren lassen. Ein umfassendes und effektives Code Signing wird so zum Kinderspiel.
Pressekontakt:
Kafka Kommunikation GmbH & Co KG
Simon Gundel
Dr. Torben Gülstorff
keyfactor@kafka-kommunikation.de
Original-Content von: Keyfactor, übermittelt durch news aktuell
Code Signing 101 – 5 Tipps zur Sicherung Ihres Codes hinzugefügt von ots am
Alle Beiträge von ots →
