返回
DigiCert® Software Trust Manager
软件供应
链安全
使用 自动化工具对代码进行扫描和签名、 并生成软件物料清单 (SBOM),从而保护您的整个软件供应链。这就是现实世界的数字信任。
DigiCert Software Trust Manager
抵御软件供应链攻击
软件供应链攻击(SSC)呈上升趋势。如果客户依赖贵企业软件的完整性,那么贵企业可以依靠DigiCert来保护企业的软件供应链。我们为您的代码签名密钥存储提供安全的软件管理以及基于角色的访问,从而最大限度地减少攻击者访问私钥的机会。利用策略驱动式方法发布软件:对软件二进制文件进行深入分析,查找恶意软件和漏洞,并仅在符合策略的情况下以安全方式对应用程序进行代码签名。我们提供:
- 企业加强型安全代码签名
- 软件二进制文件的威胁检测扫描
- 软件物料清单(SBOM)
- CI/CD管道自动化
实现软件安全管理自动化
DigiCert® Software Trust Manager通过代码签名和威胁检测工作流程自动化来改善软件安全性。我们的软件管理工具通过端到端的、覆盖全公司的安全与控制来识别并减少发布流程中的漏洞点,而不会减缓您的DevOps管道。
重要功能包括:
安全密钥
签名密钥在本地或云端HSM中获得安全保护,免遭盗窃或不安全的密钥实践,并具有细化的访问和使用控制选项。
策略执行
细化的角色和权限以及自动化的工作流程确保遵守安全策略。
集中管理
审核对签名者和签名内容、签名时间的追踪,以及证书全生命周期处理,便于管理和修复。
与CI/CD集成
与CI/CD管道的集成确保高效且一致的签名而不会减慢开发速度。
威胁检测
由ReversingLabs提供支持,可对恶意软件、软件篡改,以及开源软件、专有软件、容器和发布包中包含的机密等威胁进行高级检测。
软件物料清单
为二进制文件中的所有组件从最终版软件二进制文件中生成全面的软件物料清单。
为什么您需要软件物料清单(SBOM)?
当今的软件是多个来源的代码和包的编译,其中许多为非内部构建。这包括开源、第三方和各种库,以及来自内部和外部CI/CD团队的多个组件。软件物料清单是一种组件列表,作为嵌套清单附于软件。它列出了组成完整软件包的每一段代码,这样您就能了解可信任的内容,更容易地追踪并消除漏洞或恶意软件。
检测并缓解威胁
软件扫描和软件物料清单能让您追踪组件并检测威胁,这样缓解和补救工作就要容易得多。
查看软件供应链中的SBOM。
企业级功能
DigiCert® Software Trust Manager提供那些企业需要的灵活性 和管控力:
细化的账户管理和用户访问控制
配置使您能够集中控制安全策略的工作流程:
- 配置并标准化工作流程功能、用户结构、角色和权限
- 易于为具有特定网站要求的设施生成专属的专用CA
- 可在整个企业的证书环境中导入和导出来自任何CA的自签名证书、专用证书和公共最终实体证书
- 对签名活动的追踪易于审核,具有时间戳以进行快速修复
密钥和证书安全性控制
通过安全的密钥存储、访问和处理,防止未经授权的访问和签名密钥使用:
- 与本地或云端交付HSM集成
- 映射到密钥处理需求的密钥访问配置文件:生产、测试、按需、离线、开放、受限
- 静态、动态和漫游使用模式
- 双用户确认选项
- 证书配置文件模板和工作流程
- 具有多因素身份验证的细化的密钥访问授权
发布流程控制
防止恶意软件被注入生成服务器,并验证在发布流程中被签名的代码是否与基线版本相匹配。
威胁检测
由ReversingLabs提供支持,深入分析软件二进制文件中的威胁、软件篡改和其他漏洞:
- 使用全球最大的已知恶意软件签名私有数据库
- 扫描任何类型的软件二进制文件
- 生成软件物料清单,甚至可为来自第三方开源和专有软件的组件生成软件物料清单
与DevOps工作流程无缝集成
在不减缓敏捷开发目标的情况下获得工作流程和流程安全性:
- 通过PKCS11/KSP与Jenkins、Azure Pipelines、Gradle等DevOps CI/CD工具进行原生集成
- 哈希签名以减少延迟并保持代码安全
- 通过API、命令行或控制台签名
- 多种签名工具的通用接口
支持多种用例&文件类型
无缝保护并管理从已发布软件到部署环境到固件的所有内容,并支持多种文件类型。
已发布软件
IT应用程序
固件
容器
软件映像
移动应用程序
Authenticode | Android | Apple | ClickOnce | Debian | Docker
GPG | JAVA | Nuget | OpenSSL | RPM | XML
可扩展的灵活部署
使用基于容器的架构以简化部署和新功能的推出,让您的投资经受住未来的考验,并使您能够及时了解行业合规性要求:
- 使用可快速部署且高度可扩展的基于容器的架构,快速实现价值
- 部署模式的灵活性:本地、公共或私有云,或混合式部署
- 与本地数据中心配对以满足国内要求
- 专属的专用CA选项
来自客户的反馈
“我们在六大洲共有6,000多名开发人员。力图确保他们所需要的(用于代码签名的)所有密钥安全无虞是一项噩梦般的任务。通过使用Software Trust Manager,密钥都保留在云端,仅向相关人员提供进行签名的密钥访问权限,而不让他们获得实际的密钥。这对于我们来说是巨大的收获。”
David Nalley,Apache软件基金会基础设施副总裁
什么是软件与代码签名?
代码签名是一种确认代码或其他数字二进制文件未被更改的方法。此方法利用公钥基础设施(PKI)框架来证明代码或二进制文件的完整性。代码签名就像一种数字化的塑封包装。
流程:
- 签名为被签名的代码或文件创建“包装”。
- 发送已签名的代码。
- 如果“包装”在传输过程中没有损坏,收件人就能知道文件没有被篡改。它可以受到信任。
- 如果“包装”被损坏,则说明文件已被篡改,不能受到信任。
为什么代码签名很重要?
代码签名能最大限度地降低代码篡改风险。对于已签名的代码,如果在下载过程中完整性检查失败,收件人就会收到安全警告。这有助于收件人避免下载可能包含恶意软件的被篡改的代码。代码签名是软件信任管理的重要组成部分。
DigiCert® ONE平台的一部分
数字信任平台DigiCert ONE为组织提供适用于各类数字信任需求的集中式可见性和控制,保护网站、企业访问与通信、软件、身份、内容及设备。DigiCert将我们屡获殊荣的软件与我们在标准、支持和运营方面的行业领先地位相结合,而且DigiCert是世界各地重视信任的领先企业的首选供应商。
