我们是否能实现代码签名的自动化?
是的,代码签名工作流程可以通过DigiCert® Software Trust Manager实现自动化。组织可以通过代码签名工作流程自动化来提高软件安全性,从而最大限度地减少漏洞点。获得代码签名流程中的端到端的、覆盖全公司范围的保护——而不会让您的DevOps管道减速。
什么是自动化的代码签名?
代码签名自动化是指在软件开发生命周期内对端到端代码签名工作流程进行集中管理。自动化解决方案:
- 保护密钥,并具有细化的访问权限
- 实施公司策略,方法是实现工作流程的自动化并通过基于角色的操作和权限实现细化的用户管理
- 集中追踪与管理
- 与CI/CD系统和工具集成
代码签名工作流程可以通过应用程序编程接口(API)与CI/CD等软件开发生命周期(SDLC)相集成,也可以作为流程的一部分实现自动化,以确保符合行业要求和公司安全策略。代码签名自动化能让公司采用代码签名实践而不会妨碍软件交付速度。
为什么软件安全风险有所增加?
以下三种趋势造成了与未签名代码相关的安全风险的增加:
- 软件构建频率:公司已采用敏捷开发和CI/CD方法来缩短发布周期。因此,软件构建与合并的速度比传统的瀑布式开发模式要快得多。
- 软件供应链日益复杂:软件供应链的规模和复杂性不断增长,而且应用程序和软件往往嵌入来自多个公司来源或第三方组织的任意数量的单个代码包。由于开发人员安全策略和流程因组织而异,而且在这些类型的构建中,软件和代码在组织内部和组织之间移动,因此攻击范围比在单个开发团队内端到端开发软件的情况要广泛得多。
- 泄露的后果:备受关注的勒索软件和数据泄露事件突显出这些事件可能对品牌信任以及进行补救的财务费用所产生的重大影响。