En la cadena de suministro de Software, la firma y verificación de código ayuda a mantener el código malicioso fuera de su entorno. A partir de la versión 5.11 de SignServer Community, puede firmar digitalmente paquetes Debian.
Si no está familiarizado con la firma de código, es el proceso de firmar digitalmente código, ejecutables, scripts y paquetes de actualización de Software para confirmar el creador del código y poder validar que el código no ha sido manipulado o corrompido involuntariamente desde que fue firmado.
SignServer es un Software de firma de código del lado del servidor que admite múltiples formatos de firma de código. En la edición SignServer Community, puede firmar paquetes Open PGP y Debian, por ejemplo.
Acerca de la firma OpenPGP
OpenPGP se utiliza comúnmente para proyectos de Software Open-Source y para empaquetar Software para entornos Linux. El firmante OpenPGP de SignServer puede firmar datos arbitrarios y producir una firma OpenPGP (RFC 4880) separada en formato binario o ASCII, o una firma de texto claro.
Acerca de la firma de paquetes Debian
Debian es un sistema operativo popular y de libre acceso. Una amplia gama de organizaciones utiliza el sistema operativo Debian, y el sistema también es conocido por ser un sistema de empaquetado eficaz. SignServer admite la firma de paquetes Debian utilizando el formato dpkg-sig y OpenPGP. Las operaciones de gestión de claves son las mismas que las del firmante OpenPGP genérico en SignServer.
De estar previamente disponible exclusivamente para los usuarios de SignServer Enterprise Edition, el firmante Debian dpkg-sig ahora también está disponible en SignServer Community 5.11. Lea más en las notas de la versión.
Cómo configurarlo en SignServer
Configurar su firmante de paquetes Debian o OpenPGP en SignServer es sencillo. Sus aplicaciones pueden acceder al firmante Debian o OpenPGP mediante una integración directa a la interfaz web de servicios web o a través de SignServer SignClient. La funcionalidad de firma también está disponible para los usuarios mediante una interfaz web. Los usuarios y las aplicaciones siempre están autenticados, y todos los archivos de registro se firman para garantizar una funcionalidad de auditoría y registro adecuada.
Ni la firma de paquetes Debian ni el formato de firma OpenPGP utilizan certificados X.509. Sin embargo, en SignServer, las operaciones de firma Debian y OpenPGP se gestionan como cualquier otra operación de firma de código. Se recomienda un Módulo de Seguridad de Hardware (HSM) para almacenar la clave privada y ejecutar la operación de firma.
Comience a utilizar la firma de paquetes OpenPGP o Debian
¿Desea probar a firmar sus paquetes OpenPGP o Debian con SignServer? Aquí le indicamos cómo empezar:
- Implemente SignServer Community; consulte la Guía de inicio rápido – Iniciar contenedor de SignServer.
- Configure la firma OpenPGP o Debian; consulte la Guía técnica de firma de código.
