Häufig überspringen Entwickler Schritte, die den CI/CD-Prozess verzögern, weil sie agil sein und ihre Termine einhalten wollen. Sie sehen dies vielleicht als notwendige Behelfslösung, weil eine umfassende Kontrolle über die Sicherheit zu viel Zeit in Anspruch nimmt. Doch dadurch wird die Software anfällig für Angriffe.
Die gemeinsame Nutzung von Schlüsseln ist gängige Praxis. Doch wissen Sie wirklich, wer diese Schlüssel nutzt, nachdem sie in einem Repository gespeichert oder an einen anderen Entwickler in Ihrem Team weitergegeben wurden?
Die Aufteilung der Verantwortung für das Generieren, die Verwaltung und die Nutzung sind Schlüsselkomponenten eines guten DevOps-Ansatzes. Können Sie die Zugriffsrechte zurückziehen, wenn ein Schlüssel geknackt wurde oder ein Entwickler Ihr Unternehmen verlässt?
Wenn zahlreiche Personen ebenso viele Abschnitte eines Builds signieren, kann die Schlüsselnutzung sehr schnelll unglaublich kompliziert werden. Können Sie bösartigen Code identifizieren, wenn etwas schiefgeht? Können Sie rekonstruieren, wer wann was signiert hat?
Tun Sie in puncto Softwaresicherheit alles, was erforderlich ist – bis auf den letzten, entscheidenden Schritt?
wurde von DevOps-Profis für DevOps-Profis entwickelt, um das kontinuierliche, lückenlose Code Signing sowie das Code-, Software- und Anwendungsmanagement zu unterstützen. Umfassende Transparenz, Monitoring und Auditing der Schlüssel und Signierprozesse sorgen dafür, dass Sie jederzeit wissen, wer wann was signiert hat. Gleichzeitig stellen automatisierte Prozesse sicher, dass das Signieren für die Entwickler reibungslos, einfach und blitzschnell erfolgt, sodass sie weder auf Flexibilität noch auf Geschwindigkeit verzichten müssen. DigiCert Software Trust Manager ist mehr als nur ein Code-Signing-Service – es ist eine Denkweise, die DevOps zum geschlossenen Kreislauf macht.