FAQ Hero
Confiança da assinatura de código

Como criar e aplicar uma política de assinatura de código eficaz?

Como criar e aplicar uma política de assinatura de código eficaz? Elabore um guia interno de políticas de assinatura de código

Conforme aumenta a necessidade de requisitos de assinatura bem definidos, as organizações e as equipes de desenvolvimento precisam elaborar e operar processos e políticas de assinatura robustos para proteger software. Ao criar e documentar uma política formal de assinatura de código, você capacita desenvolvedores e engenheiros a seguir as melhores práticas necessárias para proteger o software desenvolvido.

O que devo incluir em meu guia de políticas de assinatura de código?

Políticas eficazes de assinatura de código incluem diretrizes e procedimentos de emissão e uso de chaves de assinatura de código, incluindo questões como:

Emissão de chaves

Ao definir protocolos de gerenciamento, defina controles e procedimentos para quem pode emitir chaves e quando fazer isso. Os membros da equipe precisam saber quando é apropriado emitir chaves, segundo sua função. Gerencie os tipos de chaves emitidos, além dos atributos associados a elas. Isso ajuda a evitar a emissão de novas chaves com algoritmos fracos que introduzem vetores de ataque.

Gerenciamento de chaves

Defina controles e procedimentos para funções de usuário. Quem gerencia as chaves? Como o gerenciamento de chaves é dividido segundo a função dentro da equipe ou organização ou do estágio de produção? Esses procedimentos devem incluir o rastreamento de localização para todas as chaves da organização.

Armazenamento de chaves

As chaves precisam ser protegidas. Defina controles e procedimentos para o armazenamento de chaves quando elas estão em uso ou não. Eles devem incluir HSMs, tokens, USBs e chaves de acesso que usam a autenticação multifator. Os membros da equipe precisam saber como evitar perder ou armazenar chaves incorretamente.

Permissões de assinatura

Os membros da equipe precisam saber quem tem permissão para assinar e quando é apropriado fazer isso. Eles também precisam saber quando a permissão de assinatura não é concedida e como solicitar a assinatura caso a permissão não seja parte de sua função.

Uso de chaves

Como as chaves são usadas – ou não – é uma parte crucial dos procedimentos de assinatura corretos. As chaves precisam ser usadas no momento certo, pelas pessoas certas.

Como impedir o compartilhamento de chaves

O compartilhamento de chaves é uma prática comum. E também é uma prática perigosa. Os membros da equipe nunca devem compartilhar chaves, mesmo em repositórios ou servidores, sistemas e redes internos. As chaves precisam ser emitidas, controladas e armazenadas de forma exclusiva, pelo indivíduo apropriado, segundo sua função.

Assinatura contínua

Não encare a assinatura de código e software como mais uma etapa entediante ou uma tarefa de baixa prioridade. Todo pipeline CI/CD precisa incluir a Assinatura contínua (CS—Continuous Signing) para que a segurança do código seja uma prática correta e consistente.

Para uma explicação completa de como elaborar uma política interna de assinatura de código, leia nosso guia.