Sécurisation des fichiers Java Archive (JAR) avec Code Signing

Dans la chaîne d'approvisionnement software , la signature et la vérification du code permettent d'empêcher les codes malveillants de pénétrer dans votre environnement. À partir de la version 5.10 de SignServer Community, vous pouvez signer numériquement les archives Java, les fichiers JAR. 

La signature numérique d'un code a la même fonction que la signature d'un document papier dans le monde physique : elle prouve que vous avez écrit le document ou le code de l'application et que le contenu n'a pas été modifié depuis votre signature.

La signature côté serveur software SignServer signe les fichiers JAR à l'aide d'une clé privée stockée dans un HSM ou dans un fichier sécurisé. La clé publique et le certificat sont inclus dans le fichier JAR afin que tout le monde puisse vérifier la signature. L'horodatage est également une option. De la même manière qu'une date est apposée sur un document papier, un horodatage permet d'identifier la date de signature du fichier JAR. Grâce à l'horodatage, vous pouvez vérifier que le certificat utilisé pour signer le fichier JAR était valide au moment de la signature.

La signature de JAR est prise en charge dans SignServer Community à partir de la version 5.10. Pour en savoir plus, consultez les notes de version.

SignServer est basé sur open source et vous permet de signer non seulement des fichiers JAR mais aussi plus de 20 autres formats de signature pour la signature de code, la signature de documents et l'horodatage. Un HSM est toujours recommandé pour stocker les clés de signature de manière sécurisée et conforme, et SignServer prend en charge plusieurs HSM de différents fournisseurs.

Avec SignServer, vous disposez d'une plate-forme centralisée pour gérer tous vos services de signature, d'une application cohérente de la sécurité et d'une sécurité des clés rentable. SignServer peut également être intégré dans vos processus standard de différentes manières.

Voulez-vous essayer la signature de JAR aujourd'hui avec SignServer? Voici comment commencer :

1. Téléchargez et installez SignServer Community, voir Installer SignServer.
2. Configurez les signataires JAR de SignServer . Vous êtes alors prêt à signer un fichier JAR et à vérifier la signature. Voir Signature de code avec les signatures JAR.