1. Preguntas frecuentes
  2. Confianza para la firma de código
  3. ¿Qué es la firma continua de código para CI/CD?
FAQ Hero
Confianza para la firma de código

¿Qué es la firma continua de código para CI/CD?

¿Qué es CI/CD?

CI/CD significa «integración y distribución continuas» o «integración e implementación continuas». Se trata de un proceso de desarrollo de software compatible con metodologías de desarrollo ágiles diseñadas para ofrecer software en ciclos de publicación frecuentes y de alta calidad. La integración continua se refiere a los procesos automatizados que sustentan la secuencia de compilación, prueba y fusión en un repositorio compartido. La distribución continua se refiere a un sistema automatizado de pruebas y publicación de código en el repositorio compartido. La implementación continua admite secuencias automatizadas para enviar código a producción. Adoptando un ciclo de CI/CD y metodologías de desarrollo ágiles, las empresas pueden iterar rápidamente las características y funciones del software y lanzarlas al mercado con gran calidad. Para muchos equipos de desarrollo, los procesos de CI/CD se ejecutan varias veces al día.

¿Qué es la firma continua (CS) para la integración y distribución continuas (CI/CD)?

Al igual que la CI/CD, la firma continua es un modo de operación para el desarrollo de software que se centra en subsanar las carencias de seguridad implementando una firma de código completa, automatizada e integral. La CS funciona implementando certificados de firma de software automatizados que se emiten y controlan a través de una plataforma centralizada de gestión de certificados como DigiCert® Software Trust Manager, que va incorporada en DigiCert® ONE. Estas herramientas automatizadas garantizan que el código se firme de forma continua y adecuada a lo largo de la compilación CI/CD, independientemente de la fase de desarrollo, o de quiénes o cuántos ingenieros toquen el código.

La firma continua también vincula marcadores de identidad únicos desde el punto de vista criptográfico, de tal modo que cualquiera que tenga permiso puede ver cuándo se firmó el código y de quién era la clave de certificado utilizada para esa firma. La CS reduce en gran medida el riesgo de error humano, además de mejorar la integridad y seguridad del código en un sistema de desarrollo que avanza con rapidez y que puede implicar varias paradas con diferentes desarrolladores y organizaciones a lo largo de la cadena de suministro de software.

¿Cómo encaja la firma de código en un proceso de integración y distribución continuas (CI/CD)?

La CI/CD es un proceso del ciclo de desarrollo de software (SDLC) que respalda las metodologías de desarrollo ágil diseñadas para distribuir software en ciclos de lanzamiento frecuentes de forma rápida y con alta calidad. La integración continua se refiere a los procesos automatizados que sustentan la secuencia de compilación, prueba y fusión en un repositorio compartido. La distribución continua hace referencia a un sistema automatizado de pruebas y publicación de código en el repositorio compartido. Y la implementación continua admite secuencias automatizadas para enviar el código a producción.

Cuando el código o el software están listos para entrar en producción, pueden distribuirse a muchas empresas o departamentos e instalarse en sus sistemas. El código debe estar firmado antes de la publicación para que las organizaciones o departamentos destinatarios puedan verificar la identidad del editor del código y tener la seguridad de que el código no se ha modificado desde el momento de la publicación hasta el de la descarga.

La integración con herramientas de CI/CD puede automatizar la firma de código como parte del proceso de CI/CD. La firma automatizada de código con controles de seguridad permite a una empresa cumplir las políticas de seguridad corporativas sin ralentizar el proceso de desarrollo de software. Además, garantizar que el código de otras fuentes incluidas en el proceso de CI/CD también esté firmado proporciona la seguridad de que ese código es de confianza y puede incluirse en el proceso de desarrollo de software.

  • DigiCert Logo

    El proveedor global de soluciones TLS/SSL, PKI, IoT y de firma en quien más empresas confían.