Le compte à rebours est lancé pour Keyfactor Tech Days - réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • Mise en œuvre d'une signature de code sécurisée à grande échelle

Mise en œuvre d'une signature de code sécurisée à grande échelle

Signature du code

Ce blog est co-écrit avec Robert Masterson de Thales.

Dans l'environnement de développement actuel, il est important que chaque organisation utilise la signature de code pour garantir la fiabilité des applications et des mises à jour qu'elle fournit aux utilisateurs finaux. Cela commence dès le processus de construction et va jusqu'à la publication afin de développer un code avec un haut degré d'authenticité et d'intégrité.

Cependant, dans le monde réel, le développement étant devenu plus agile et en même temps plus complexe, la mise en œuvre de pratiques de signature de code sécurisées à grande échelle a désormais des implications significatives en matière de sécurité. Si vous élaborez du code, créez des conteneurs ou exécutez des applications dans le nuage, vous devez prendre sérieusement en compte les risques liés à la signature de code et la manière de réagir en cas d'incident.

Dans tout environnement de développement, les secrets constituent l'atout le plus important en matière de sécurité, en particulier les clés de signature de code. Si les clés privées utilisées pour signer le code tombent entre les mains d'un pirate, que ce soit à la suite d'une divulgation accidentelle ou d'une brèche dans le réseau, elles peuvent infliger de graves dommages à l'entreprise. Les équipes informatiques et de sécurité peuvent mettre des heures, voire des jours, à remédier au problème, ce qui pèse sur les ressources et entraîne des temps d'arrêt involontaires.

Outre les problèmes de sécurité liés au développement agile, les développeurs eux-mêmes ont besoin de moyens d'accéder aux certificats de signature de code sans entraver leurs flux de travail ou leurs ensembles d'outils. Souvent, les administrateurs de certificats et les opérations d'infosécurité peuvent se trouver en désaccord avec une philosophie de développement où l'accent est mis sur la livraison et l'intégration continues, et non sur l'atténuation des risques.

Voici quelques-uns des problèmes auxquels les organisations informatiques modernes sont confrontées lorsqu'elles mettent en œuvre la signature de code à grande échelle :

  • Ne pas utiliser hardware pour sécuriser les clés privées sensibles liées aux certificats de signature de code. Trop souvent, nous voyons des développeurs stocker des certificats de signature de code dans des systèmes de fichiers, sur des stations de travail ou des serveurs de construction, ou même par courrier électronique entre développeurs, plutôt que de les stocker en toute sécurité dans un HSM.
  • De nombreuses entreprises ont encore du mal à mettre en place des processus d'approbation et des contrôles d'accès basés sur les rôles pour l'utilisation des certificats de signature de code. Avec les changements de personnel, il peut également être très difficile de savoir où se trouvent les certificats de signature de code et qui y a accès.
  • De nombreuses entreprises se demandent encore comment permettre aux équipes de développement géographiquement dispersées d'accéder aux certificats de signature de code, ce qui rend également plus difficile l'activation de la signature sans exposer la clé privée et risquer de compromettre le niveau d'assurance de la signature numérique qui accompagne votre site software.
  • En termes d'efficacité, la sécurisation des certificats de signature de code peut également créer des étapes supplémentaires pour les développeurs, entraînant des retards dans le pipeline de construction ou le cycle de publication. Ces retards sont souvent dus au temps nécessaire pour accéder aux certificats de signature de code ou pour effectuer l'opération de signature elle-même.
  • Enfin, et c'est peut-être le point le plus important, il est incroyablement difficile de suivre et d'enregistrer tout ce qui se passe avec les certificats de signature de code à des fins d'audit et de conformité.

Après avoir discuté avec des dizaines d'entreprises, nous avons réalisé qu'il était nécessaire de créer une solution capable de résoudre ces obstacles importants auxquels sont confrontées les équipes chargées des applications et de la sécurité. Keyfactor et Thales se sont associés pour créer une solution intégrée - Keyfactor Code Assure - qui permettrait aux développeurs d'avancer rapidement, sans sacrifier la sécurité des certificats de signature de code.

Grâce à Keyfactor Code Assure, intégré au HSM Thales Luna ou DPoD, les équipes de développement peuvent accéder aux certificats de signature de code où qu'elles soient, et les utiliser pour signer pratiquement tout, des images de conteneurs et des binaires aux artefacts et aux builds software . Pendant ce temps, les clés privées restent verrouillées dans le HSM Thales, tandis que les développeurs peuvent faire leur travail efficacement et en toute sécurité.

La plateforme Keyfactor Code Assure permet aux entreprises de :

  • Intégration directe avec un HSM Thales pour le plus haut niveau de protection des clés privées, garantissant qu'elles ne quittent jamais les limites du HSM.
  • Permettre des opérations de signature de code à grande échelle sans sacrifier la vitesse ou l'efficacité de votre cycle de développement (SDLC) software .
  • S'appuyer sur un fournisseur d'identité pour permettre aux propriétaires désignés de certificats de signature de code de déverrouiller l'accès en fonction de critères spécifiques tels que le lieu, l'heure ou le nombre d'opérations de signature.
  • Offrir aux développeurs plusieurs interfaces pour utiliser les certificats de signature de code, y compris un portail web, une suite d'API robuste et une interface CSP/KSP à distance.
  • Enregistrez chaque activité de signature de code qui a lieu, ce qui vous permet de savoir qui a signé quoi, quand et avec quel certificat de signature de code.
  • Utiliser des outils de signature existants tels que Microsoft SignTool et JarSigner pour renforcer l'assurance de vos opérations de signature.

La possibilité de contrôler l'utilisation de vos certificats de signature de code et de sécuriser les clés privées dans un HSM permettra à votre entreprise de signer numériquement avec une assurance et une confiance élevées. Keyfactor Code Assure, associé à un HSM Thales Data Protection On Demand (DPoD) basé sur le cloud ou à un HSM Thales Luna sur site, vous aidera à débloquer vos opérations de signature de code et à signer votre code à grande échelle.

En savoir plus : Keyfactor Code Assure

En savoir plus sur : Thales Data Protection On Demand (DPoD) HSM et Thales Luna HSM

Découvrez comment l'automatisation du cycle de vie des certificats peut vous aider à atteindre vos objectifs en matière de DevOps et de sécurité. Téléchargez l'eBook DevOps.com :