コード署名を自動化することはできますか?
はい。DigiCert® Secure Software Manager を使用すれば、コード署名ワークフローを自動化できます。自動コード署名のワークフローを採用すると脆弱ポイントが最小限に抑えられるため、組織のソフトウェアセキュリティを向上させることができます。DevOps のパイプラインのスピードを損なうことなく、コード署名プロセスにおいてエンドツーエンドの全社的な保護ができます。
自動コード署名とは
自動コード署名とは、ソフトウェア開発ライフサイクルの中でエンドツーエンドのコード署名ワークフローを一元的に管理することを言います。自動化されるソリューションは次のとおりです。
- きめ細やかなアクセス権限により鍵を保護する
- ワークフローを自動化し、ロールベースのアクションと権限によるきめ細やかなユーザー管理を可能にし、企業のポリシーを確実に運用する
- 追跡と管理を一元化する
- CI/CD システムおよびツールと統合する
コード署名ワークフローは、API (アプリケーションプログラミングインターフェース)により CI/CD などの SDLC (ソフトウェア開発ライフサイクル)プロセスと統合することができます。また、業界の要件や企業のセキュリティポリシーを遵守するためのプロセスの一部として自動化することもできます。自動コード署名なら、ソフトウェアのデリバリーに遅れを生じさせることなくコード署名業務を導入できます。
ソフトウェアのセキュリティリスクが高まった背景には何がありますか?
署名されていないコードに関連するセキュリティリスクが高まった原因として、以下に述べる 3 つのトレンドが挙げられます。
- ソフトウェアビルドの頻度: リリースサイクルを短縮するため、多くの企業でアジャイル開発や CI/CD の手法が採用されました。その結果、従来のウォーターフォール型の開発モデルよりも格段に早いペースでソフトウェアのビルドとマージが行われるようになりました。
- ソフトウェアサプライチェーンの複雑化: ソフトウェアサプライチェーンは、その規模も複雑さも増加しました。そして、アプリケーションやソフトウェアには、複数の企業やサードパーティ組織によって提供される、独立したコードパッケージが無数に埋め込まれることが一般的になりました。開発者のセキュリティポリシーは組織ごとにばらつきがあり、また、この種のビルドでは組織内または組織間でのソフトウェアおよびコードの移動が生じるため、1 つの開発チーム内でエンドツーエンドでソフトウェアを開発する場合に比べると、攻撃の対象ははるかに広範囲に及びます。
- 侵害の結果: ランサムウェアやデータ侵害の事例が注目を浴び、それがブランドの信頼に大きな影響を与えるだけでなく、信頼を取り戻すための金銭的な負担も大きいことが明らかになりました。