Keyfactor freut sich, eine neue Partnerschaft mit Chainloopbekannt zu geben, einem führenden Unternehmen im Bereich der software Sicherheit der Lieferkette. Gemeinsam bieten Chainloop und Keyfactor eine integrierte Lösung an, mit der Unternehmen schneller vertrauenswürdige software aufbauen und bereitstellen können.
Software Angriffe auf die Lieferkette sind immer häufiger und komplexer geworden, da böswillige Akteure versuchen, Schwachstellen in jeder Phase des software Entwicklungs- und Bereitstellungslebenszyklus auszunutzen. Der Schutz der gesamten DevOps-Toolchain und des Codes in Anwendungsumgebungen ist jedoch eine gewaltige Aufgabe für IT-Betriebs- und Sicherheitsteams. In dem Spiel zwischen Geschwindigkeit und Sicherheit gewinnt die Geschwindigkeit oft auf Kosten eines erhöhten Risikos.
Von der Code-Entwicklung über das Testen und Verpacken bis hin zur Verteilung werden bei jedem Schritt Informationen darüber generiert, was und wie software erstellt wurde - auch bekannt als Metadaten. Diese Metadaten gehen weit über eine Software Bill of Materials (SBOM) hinaus und umfassen QA-Tests und -Berichte, CVE-Scans, rechtliche und architektonische Überprüfungen usw.
Unternehmen verlassen sich auf Metadaten, um wichtige Entscheidungen in Bezug auf Sicherheit und Compliance zu treffen. Wenn diese Metadaten jedoch manipuliert oder kompromittiert werden, kann dies schwerwiegende Folgen haben. An dieser Stelle kommen Keyfactor und Chainloop ins Spiel.
Chainloop bietet eine einzige Plattform zum Speichern, Bescheinigen und Verteilen von Metadaten, während Keyfactor sicherstellt, dass alle Bescheinigungen und Artefakte in Chainloop digital signiert und verifiziert sind.
Diese Integration ist in zwei verschiedenen Varianten verfügbar, die Keyfactor's EJBCA und SignServer Lösungen. SignServer ermöglicht Teams die Fernsignierung von Nutzdaten für Bescheinigungen, bevor diese zur Speicherung an Chainloop gesendet werden, um sicherzustellen, dass sie nach der Signierung nicht manipuliert oder verändert wurden. Darüber hinaus kann EJBCA so konfiguriert werden, dass kurzlebige Signierzertifikate erzeugt werden, um Artefakte und Nutzdaten für Bescheinigungen lokal zu signieren.
Durch die Kombination von führenden PKI- und Signing-Lösungen mit der Chainloop Control Plane for Trusted Software Delivery können Anwendungs- und Betriebsteams schnell handeln, während Sicherheitsteams robuste Richtlinien in der gesamten software Lieferkette implementieren können.
Wenn Sie mehr über die Integration und ihre Funktionsweise erfahren möchten, lesen Sie den ausführlichen Blogbeitrag "Absicherung der Software Lieferkette mit SignServer, EJBCA und Chainloop: Ein umfassender Leitfaden".
