Sicherheit 11-25-2020

Vereinfachtes Code Signing an Werk- und Feiertagen

Dave Roche

Code Signing ist ein unverzichtbarer Bestandteil Ihres DevOps-Prozesses, der dafür sorgt, dass Code nicht manipuliert werden kann. Über die Feiertage sind üblicherweise weniger Mitarbeiter im Büro, und diejenigen, die da sind, haben viel auf dem Tisch. Um Arbeitsabläufe zu vereinfachen, sind Automatisierung und ein Plus an Sicherheit zu dieser Zeit noch wichtiger. Und da immer mehr Menschen von Zuhause aus arbeiten, kann das Code Signing durch eine flexible Lösung erleichtert werden, bei der Schlüssel auf FIPS-konformen Geräten (FIPS = US-Bundesstandard für Informationsverarbeitung) und anderer Hardware gespeichert werden müssen.

Der Einsatz von Code-Signing-as-a-Service kann das Signieren von Code vereinfachen und helfen, den Code schneller und einfacher abzusichern. Zudem wird Ihr IT-Team entlastet. In diesem Jahr ist Code-Signing-as-a-Service vielleicht das beste Weihnachtsgeschenk, das Sie Ihrem Software-Engineering-Team machen können. Die Vorteile werden noch lange über Neujahr hinaus zu spüren sein.

Herausforderungen von konventionellem Code Signing

Beim konventionellen Code Signing werden Schlüssel oft auf lokalen Rechnern gespeichert und gemeinsam genutzt. Die eigentlichen Signiervorgänge sind zudem kaum nachvollziehbar. Ohne gründliche Verwaltung kann diese Form des Code Signing zu Missbrauch führen. Schlimmstenfalls wird dadurch Malware signiert. Wer seine Code-Signing-Aktivitäten nicht aufmerksam verfolgt, wird es schwer haben, den Überblick über die gespeicherten und gemeinsam genutzten Schlüssel zu behalten. Unsignierter Code oder offengelegte private Schlüssel können Ihrem Ruf schaden und zu erheblichen finanziellen Verlusten führen.

Umfragen zufolge befürchten mehr als die Hälfte der IT-Sicherheitsexperten, dass Cyberkriminelle Zertifikate stehlen oder fälschen könnten, um eigenen Code oder Anwendungen zu signieren. Dennoch setzt nur ein Drittel der Befragten Code-Signing-Richtlinien konsequent um. Im September 2020 klagte das US-Justizministerium zwei malaysische und fünf chinesische Hacker an, weil sie über 100 US-Firmen gehackt haben sollten. Die Angreifer wurden wegen des Diebstahls von Quellcode, Code-Signing-Zertifikaten sowie Kunden- und Geschäftsdaten angeklagt. Code Signing besitzt ein enormes Bedrohungspotenzial und kann Ihrem Software-Engineering-Team schlaflose Nächte bereiten.

Und während der Feiertage kann es leicht passieren, dass aus der Ferne schnell neuer Code bereitgestellt werden muss. Mit konventionellem Code Signing ist das ein schwieriges Unterfangen. Doch mit einem Code-Signing-Managementsystem könnte einem Entwickler der sichere Zugriff auf benötigte Signierschlüssel gewährt werden – auch während der Feiertage.

Hacker machen keinen Urlaub. Doch Ihr IT-Team hat sich eine Verschnaufpause verdient. Wenn Sie Ihren Code schützen, Ihrem DevOps-Team in dieser Festtagssaison (und auch sonst) aber dennoch den wohlverdienten Urlaub gönnen möchten, ziehen Sie Code-Signing-as-a-Service in Betracht.

Ihr Geschenk in diesem Jahr: mehr Zeit

Zunächst einmal kann Code-Signing-as-a-Service Ihren Entwicklern das beste Geschenk zu diesem Fest überhaupt machen: Zeit. Achten Sie darauf, dass die Code-Signing-Lösung einfach zu verwalten ist und sich automatisieren lässt. Sie dürfen Ihre Entwicklungsprozesse nicht ausbremsen, weil das Code Signing stockt. Mit Code-Signing-as-a-Service hat Ihr Team das Code Signing schneller im Griff, sogar bei weniger Mitarbeitern oder einem größeren Homeoffice-Anteil. So können Ihre Entwicklungsprozesse ungehindert weiterlaufen. Mit einem Code-Signing-Manager können Sie das Code Signing mit integrierter API-Einbindung automatisieren und Signaturzeitfenster für sichere Versionen und Updates vorab planen und genehmigen.

Ihr Geschenk in diesem Jahr: Sicherheit

Ein Code-Signing-Manager schenkt Ihnen aber nicht nur wertvolle Zeit, sondern auch mehr Sorgenfreiheit, da der Code besser abgesichert wird. Mit einem Code-Signing-Manager erhalten Sie einen besseren Überblick über potenzielle Probleme, die Sie sofort näher untersuchen können. So können Sie beim ersten Warnzeichen schnell und effizient reagieren und so die Sicherheit weiterhin gewährleisten. Darüber hinaus hilft Ihnen eine Code-Signing-Lösung die entsprechenden Anforderungen zu einem Minimum an Kosten zu erfüllen. Administratoren können den Zugriff auf der Basis von Berechtigungen steuern und sehen, wer mit welchen privaten Schlüsseln und Zertifikaten signieren darf. Damit wird den signierenden Benutzern mehr Verantwortlichkeit über ihre Aktivitäten übertragen, wodurch besser verhindert werden kann, dass Code-Signing-Schlüssel weitergegeben werden.

Mit einem Code-Signing-Manager sinkt nicht nur das Risiko des Diebstahls oder Missbrauchs von Schlüsseln, Sie benötigen auch kein eigenes Hardware-Sicherheitsmodul mehr. So können Sie die Feiertage sorgenfrei genießen. Der DigiCert® Software Trust Manager von DigiCert ist eine moderne Lösung für die Code-Signing-Verwaltung, die sich in CI/CD-Vorgänge (Continuous Integration / Continuous Delivery) einfügt und Ihnen die Überwachung Ihrer Prozesse in einem zentralen Dashboard ermöglicht. Damit haben Sie alles Wichtige im Blick.

Über DigiCert Software Trust Manager

Der DigiCert Software Trust Manager ist ein modernes Tool für die Code-Signing-Verwaltung, das mit Modellen für die übertragbare, flexible Bereitstellung und sichere Schlüsselverwaltung automatisch alle Pipelines für die Continuous Integration / Continuous Delivery (CI/CD) absichert.

Mit dem DigiCert Software Trust Manager gelingt das Code Signing von Binärformaten schnell, bequem und in großem Maßstab. Zudem werden die Schlüssel in der Cloud generiert, sodass sie bei Nichtgebrauch offline sind und nicht geteilt oder gestohlen werden können oder verloren gehen.

Alle gängigen Dateitypen werden von DigiCert Software Trust Manager unterstützt, darunter:

Mit dem DigiCert Software Trust Manager lässt sich Code bequem in den Produktentwicklungsprozess integrieren, wobei kryptografische Vorgänge, das Signieren und die Verwaltung auf kontrollierte, nachvollziehbare Weise ablaufen. Dank Tracking, Berichten und Prüfpfaden für forensische Ermittlungen und Rechenschaftsnachweise ermöglicht es der DigiCert Software Trust Manager Unternehmen, ihre eigenen Sicherheitsrichtlinien und die der jeweiligen Branche einzuhalten.

DigiCert Software Trust Manager – auf Basis von DigiCert ONE™

Der DigiCert Software Trust Manager basiert auf DigiCert ONE, der modernsten PKI-Managementplattform auf dem Markt. DigiCert ONE verfügt über eine cloudnative Architektur und Technologien, mit der sich moderne Sicherheitsherausforderungen in einer PKI-Infrastruktur bewältigen lassen.

Sie wurde 2020 auf den Markt gebracht, umfasst mehrere Managementtools und ist für alle PKI-Anwendungsfälle geeignet. Aufgrund ihrer Flexibilität kann sie sowohl On-Premises als auch lokal oder in der Cloud bereitgestellt werden, um strikte Vorgaben sowie spezifische Integrations- und Air-Gap-Anforderungen zu erfüllen. Die zuverlässige und dynamisch skalierbare Infrastruktur ermöglicht zudem eine schnelle Ausgabe großer Mengen von Zertifikaten. DigiCert ONE bietet ein umfassendes zentrales Zertifikatsmanagement für Benutzer und Geräte und damit einen modernen PKI-Ansatz für Vertrauensbeziehungen in Kubernetes-Clustern und dynamischen IT-Architekturen.

Auf digicert.com/de/software-trust-manager erfahren Sie mehr über den DigiCert Software Trust Manager.

UP NEXT
Sicherheit

Die drei beliebtesten Funktionen
von DigiCert Secure Site
und Secure Site Pro

5 Min

Im Blickpunkt

Digitales Vertrauen für die analoge Welt wird Wirklichkeit

Mit Zero Trust zum digitalen Vertrauen

Smart Homes sollen das Leben einfacher machen, aber da jedes Smart Home-Gerät eine eigene App benötigt, um es zu verwalten, war es für die Verbraucher nicht einfach, ihre verschiedenen Geräte zu verwalten. Lesen Sie hier mehr über Matter-Trusted Devices.