Este blog está coescrito con Robert Masterson de Thales
En el entorno de desarrollo actual, es importante que todas las organizaciones utilicen la firma de código para garantizar la fiabilidad de las aplicaciones y actualizaciones que entregan a los usuarios finales. Esto empieza en el proceso de creación y llega hasta la publicación para desarrollar código con un alto grado de autenticidad e integridad.
Sin embargo, en el mundo real, a medida que el desarrollo se ha vuelto más ágil y, al mismo tiempo, más complejo, implementar prácticas seguras de firma de código a escala tiene ahora importantes implicaciones de seguridad. Si estás creando código, creando contenedores o ejecutando aplicaciones en la nube, debes considerar seriamente los riesgos que implica la firma de código y cómo responder si se produce un incidente.
Los secretos son su activo de seguridad más crítico en cualquier entorno de desarrollo, especialmente sus claves de firma de código. Si las claves privadas utilizadas para firmar código llegan a manos de un atacante, ya sea por revelación accidental o por una brecha en la red, pueden infligir graves daños a la empresa. Los equipos de TI y de seguridad pueden tardar horas o incluso días en solucionar el problema, lo que supone una merma de recursos y un tiempo de inactividad involuntario.
Además de los problemas de seguridad que conlleva el desarrollo ágil, los propios desarrolladores necesitan formas de acceder a los certificados de firma de código que no obstaculicen sus flujos de trabajo o conjuntos de herramientas. A menudo, los administradores de certificados y las operaciones de infoseguridad pueden encontrarse en desacuerdo con una filosofía de desarrollo, en la que la atención se centra en la entrega y la integración continuas, no en la mitigación de riesgos.
Estos son algunos de los problemas con los que nos encontramos en las organizaciones de TI modernas cuando implantan la firma de código a gran escala:
- No utilizar hardware para proteger las claves privadas confidenciales vinculadas a los certificados de firma de código. Con demasiada frecuencia, vemos que los desarrolladores almacenan los certificados de firma de código en sistemas de archivos, en estaciones de trabajo o servidores de compilación, o incluso se los envían por correo electrónico, en lugar de almacenarlos de forma segura en un HSM.
- Muchas empresas siguen teniendo dificultades para aplicar procesos de aprobación y controles de acceso basados en funciones en torno al uso de certificados de firma de código. A medida que el personal cambia, también puede ser muy difícil hacer un seguimiento de dónde se encuentran los certificados de firma de código y quién tiene acceso a ellos.
- Muchas empresas siguen teniendo problemas para que los equipos de desarrollo dispersos geográficamente puedan acceder a los certificados de firma de código, lo que también dificulta la firma sin exponer la clave privada y poner en riesgo el nivel de garantía de la firma digital que acompaña a su software.
- En lo que respecta a la eficiencia, mantener la seguridad de los certificados de firma de código también puede crear pasos adicionales para los desarrolladores, provocando retrasos en el proceso de compilación o en el ciclo de publicación. Estos retrasos suelen deberse al tiempo que se tarda en acceder a los certificados de firma de código o en realizar la propia operación de firma.
- Por último, y quizás lo más importante, es increíblemente difícil rastrear y registrar todo lo que ocurre con los certificados de firma de código a efectos de auditoría y cumplimiento.
Después de hablar con docenas de empresas, nos dimos cuenta de la necesidad de crear una solución que pudiera resolver estos importantes obstáculos a los que se enfrentan los equipos de aplicaciones y seguridad. Keyfactor y Thales se unieron para crear una solución integrada - Keyfactor Code Assure - que permitiera a los desarrolladores avanzar rápidamente, sin sacrificar la seguridad de los certificados de firma de código.
Mediante Keyfactor Code Assure, integrado con el HSM Luna o DPoD de Thales, los equipos de desarrollo pueden acceder a certificados de firma de código desde cualquier lugar y utilizarlos para firmar prácticamente cualquier cosa, desde imágenes de contenedores y binarios hasta artefactos y compilaciones de software . Mientras tanto, las claves privadas permanecen bloqueadas en el HSM de Thales, mientras que los desarrolladores pueden hacer su trabajo de manera eficiente y segura.
La plataforma Keyfactor Code Assure permite a las empresas:
- Se integra directamente con un HSM de Thales para ofrecer el máximo nivel de protección de las claves privadas, garantizando que nunca salgan de los confines del HSM.
- Permita operaciones de firma de código a escala sin sacrificar la velocidad ni la eficacia en su ciclo de vida de desarrollo (SDLC) software
- Aproveche un proveedor de identidades para permitir que los propietarios designados de certificados de firma de código desbloqueen el acceso en función de criterios específicos como la ubicación, la hora o el número de operaciones de firma.
- Ofrece a los desarrolladores múltiples interfaces para utilizar certificados de firma de código, incluido un portal web, un sólido conjunto de API y una interfaz CSP/KSP remota.
- Registre todas las actividades de firma de código que tengan lugar, lo que le permitirá saber quién firmó qué, cuándo y con qué certificado de firma de código.
- Utilización de herramientas de firma existentes, como Microsoft SignTool y JarSigner, para incorporar garantías adicionales a sus operaciones de firma.
Poder controlar el uso de sus certificados de firma de código y proteger las claves privadas en un HSM permitirá a su organización firmar digitalmente con gran seguridad y confianza. Keyfactor Code Assure, combinado con un HSM Thales Data Protection On Demand (DPoD) basado en la nube o un HSM Thales Luna local, le ayudará a desbloquear realmente sus operaciones de firma de código y firmar su código a escala.
Más información: Keyfactor Garantía de codificación
Más información sobre: Thales Data Protection On Demand (DPoD) HSM y Thales Luna HSM
Descubra cómo la automatización del ciclo de vida de los certificados puede ayudarle a alcanzar los objetivos de DevOps y seguridad. Descargue el libro electrónico de DevOps.com: