Schließen Sie den DevOps-Kreislauf
Gutes DevOps beruht auf proaktivem Denken. Warum ist die Sicherheit in so vielen DevOps-Teams dennoch ein Nachgedanke? Ohne ein lückenloses Signatur- und Schlüsselmanagement fehlt ein Glied in Ihrer DevOps-Kette. Deshalb sollten Sie unsere Lösung für kontinuierliche Signaturen ausprobieren, wenn Sie Wert auf proaktive Sicherheit legen.
SolarWinds markiert einen Wendepunkt
Die Schwachstelle, die dem SolarWinds-Hack Vorschub leistete, hatte nichts mit schwachen Sicherheitstools zu tun. Es wurden schlicht nicht alle Schritte der Best Practices für das Code Signing implementiert. Wie hätte man den SolarWinds-Angriff verhindern können?
Wer abkürzt, wenn es schnell gehen soll, öffnet Angreifern Tür und Tor
Häufig überspringen Entwickler Schritte, die den CI/CD-Prozess verzögern, weil sie agil sein und ihre Termine einhalten wollen. Sie sehen dies vielleicht als notwendige Behelfslösung, weil eine umfassende Kontrolle über die Sicherheit zu viel Zeit in Anspruch nimmt. Doch dadurch wird die Software anfällig für Angriffe.
Teilen Ihre Entwickler Schlüssel?
Die gemeinsame Nutzung von Schlüsseln ist gängige Praxis. Doch wissen Sie wirklich, wer diese Schlüssel nutzt, nachdem sie in einem Repository gespeichert oder an einen anderen Entwickler in Ihrem Team weitergegeben wurden?
Verwalten Sie Zugriffsrechte für wichtige Zertifikate?
Die Aufteilung der Verantwortung für das Generieren, die Verwaltung und die Nutzung sind Schlüsselkomponenten eines guten DevOps-Ansatzes. Können Sie die Zugriffsrechte zurückziehen, wenn ein Schlüssel geknackt wurde oder ein Entwickler Ihr Unternehmen verlässt?
Können Sie die Schlüsselnutzung verfolgen und protokollieren?
Wenn zahlreiche Personen ebenso viele Abschnitte eines Builds signieren, kann die Schlüsselnutzung sehr schnelll unglaublich kompliziert werden. Können Sie bösartigen Code identifizieren, wenn etwas schiefgeht? Können Sie rekonstruieren, wer wann was signiert hat?
Laden Sie die zehn wichtigsten Fragen herunter, die CISOs zum Thema DevOps stellen sollten – aber nicht stellen.
Speichern Sie Ihre Schlüssel an einem sicheren Ort
Tun Sie in puncto Softwaresicherheit alles, was erforderlich ist – bis auf den letzten, entscheidenden Schritt?
SolarWinds: Eine Geschichte über die Theorie und Praxis des Code Signing, die zu denken gibt
DigiCert® Software Trust Manager
Sichern Sie Ihre Software vom Design über den Build bis zur Lieferung
wurde von DevOps-Profis für DevOps-Profis entwickelt, um das kontinuierliche, lückenlose Code Signing sowie das Code-, Software- und Anwendungsmanagement zu unterstützen. Umfassende Transparenz, Monitoring und Auditing der Schlüssel und Signierprozesse sorgen dafür, dass Sie jederzeit wissen, wer wann was signiert hat. Gleichzeitig stellen automatisierte Prozesse sicher, dass das Signieren für die Entwickler reibungslos, einfach und blitzschnell erfolgt, sodass sie weder auf Flexibilität noch auf Geschwindigkeit verzichten müssen.
Organisieren Sie Ihren kostenlosen Test >