DevOpsのほころびを埋める
うまくいっているDevOps部門は先手必勝のマインドセットで行動しています。なぜ多くのDevOps部門がセキュリティを後回しにするのでしょうか。エンドツーエンドの署名と鍵管理を行わなければ、DevOpsループにほころびができます。先取的なセキュリティの実現に向けて、自動コード署名ソリューションをお試しください。
SolarWindsが分岐点となる
SolarWindsのデータ侵害を招いた脆弱性は、脆弱なセキュリティツールが原因ではありませんでした。問題は、コード署名のベストプラクティスの各ステップを怠ったことです。SolarWindsへの攻撃はどのようにすれば防げたのでしょうか。
急ぐあまり抜け道を使うと、付け入る隙ができる
スピードを上げて納期を守るため、開発者はCI/CDのビルドとリリースを遅らせるようなステップを省くことがあります。DevOps部門におけるセキュリティ対策が弱い(または存在しない)状態状態になっていたのはそのためです。これまではセキュリティを完全にコントロールするのはかなり時間がかかる作業だったため、開発者は抜け道を見つける必要があったのです。しかし、その抜け道こそがソフトウェアを侵害のリスクに晒していました。
開発者は鍵を共有していませんか?
鍵の共有は運用手順として珍しくありません。しかし、鍵がリポジトリに置かれたり、チームの別のメンバーに渡されたりした後、その鍵を誰が使用しているか本当に把握できますか?
鍵と証明書の権限は管理されていますか?
生成、制御、使用の分離は、優れたDevOpsセキュリティに不可欠な要素です。鍵が侵害された場合や、開発者が退職した場合などにユーザーアクセスを削除できますか?
鍵の使用を追跡調査することはできますか?
多くのユーザーがビルドの多くの部分に署名すると、鍵の使用を管理することはすぐに不可能に近い程複雑化します。何か問題が起こったとき、不正なコードを特定できますか? 誰が何にいつ署名したのか把握できていますか?
最高情報セキュリティ責任者(CISO)がDevOps部門に(これから)聞くべき10の質問をダウンロード
鍵を安全な場所に保管する
ソフトウェアのセキュリティの最後の重要なステップ以外について、すべてのステップを適切に行っていますか?
SolarWinds
コード署名の理論と実践に関する注意話
DigiCert® Software Trust Manager
ソフトウェアの計画から開発、配布まで一貫して保護
DevOpsにより、DevOpsのために設計されたDigiCert Software Trust Managerは、コード、ソフトウェア、アプリに継続的なエンドツーエンドのコード署名およびコード管理を提供します。鍵と署名プロセスの完全な可視性、追跡、監査により、誰が何にいつ署名したのかすべて把握できるようになります。開発者から見ると、プロセスの自動化によって署名がシームレス、シンプル、かつスピーディになり、俊敏性や市場投入までの期間について妥協する必要がなくなります。DigiCert Software Trust Managerはただのコード署名サービスではありません。DevOpsのほころびを実際に埋めるマインドセットなのです。