Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

Keyfactor Se asocia con Chainloop para impulsar la seguridad de la cadena de suministro Software

Actualizaciones técnicas

Keyfactor se complace en anunciar su nueva colaboración con Chainlooplíder en seguridad de la cadena de suministro software . Juntos, Chainloop y Keyfactor ofrecen una solución integrada para ayudar a las empresas a crear y ofrecer software de confianza con mayor rapidez.

Software Los ataques a la cadena de suministro se han vuelto cada vez más comunes, y complejos, ya que los actores maliciosos buscan explotar las debilidades en cada etapa del ciclo de vida de desarrollo y entrega de software . Sin embargo, proteger toda la cadena de herramientas DevOps y el código en todos los entornos de aplicación es una tarea monumental para los equipos de operaciones y seguridad de TI. En el juego de la velocidad frente a la seguridad, la velocidad a menudo gana a costa de un mayor riesgo.

Desde el desarrollo del código, las pruebas, el empaquetado y la distribución, en cada paso se genera información sobre qué y cómo se ha construido software , lo que también se conoce como metadatos. Estos metadatos van mucho más allá de la lista de materiales (SBOM) de Software , e incluyen pruebas e informes de control de calidad, análisis de CVE, revisiones legales y de arquitectura, etc.

Las empresas confían en los metadatos para tomar decisiones críticas en materia de seguridad y cumplimiento, pero si estos metadatos se manipulan o se ponen en peligro, las consecuencias pueden ser graves. Ahí es donde entran en juego Keyfactor y Chainloop.

Chainloop ofrece una plataforma única para almacenar, certificar y distribuir metadatos, mientras que Keyfactor garantiza que todas las certificaciones y artefactos de Chainloop están firmados y verificados digitalmente.

Esta integración está disponible en dos versiones diferentes que utilizan Keyfactor's EJBCA y SignServerSignServer permite a los equipos firmar a distancia las cargas útiles de atestación antes de enviarlas a Chainloop para su almacenamiento, garantizando así que no han sido manipuladas ni modificadas después de la firma. Además, EJBCA puede configurarse para generar certificados de firma de corta duración para firmar localmente artefactos y cargas útiles de atestación.

Al reunir las principales soluciones PKI y de firma con Chainloop Control Plane for Trusted Software Delivery, los equipos de aplicaciones y operaciones pueden actuar con rapidez, mientras que los equipos de seguridad pueden aplicar políticas sólidas en toda la cadena de suministro de software .

Para obtener más información sobre la integración y su funcionamiento, consulte la entrada del blog "Securing the Software Supply Chain with SignServer, EJBCA, and Chainloop: Una guía completa".