Objetivo: un ciclo de DevOps sin fisuras
La proactividad es la clave de una buena estrategia de DevOps. Y aún así, muchos equipos tratan a la seguridad como algo secundario. Sin una gestión integral de las firmas y las claves, el ciclo de DevOps se queda cojo. ¿Quiere una seguridad proactiva? Pruebe nuestra solución de firma continua.
SolarWinds marca un punto de inflexión
La vulnerabilidad que provocó la filtración de datos de SolarWinds no se debió al uso de herramientas de seguridad de poca calidad, sino a que no se siguieron todas las prácticas recomendadas en lo que respecta a la firma de código. ¿Cómo se pudo haber evitado el ataque a SolarWinds?
Los atajos nos convierten en un blanco fácil
Para garantizar la agilidad y el cumplimiento de los plazos, a veces los desarrolladores se saltan ciertos pasos que demoran las fases de desarrollo y lanzamiento del ciclo de CI/CD, lo que significa que los equipos de DevOps no siempre siguen las prácticas de seguridad como es debido, o no las siguen en absoluto. Como el control total de la seguridad solía demandar mucho tiempo, los desarrolladores tuvieron que buscar soluciones alternativas que, en definitiva, ponen en riesgo la integridad del software.
¿Su equipo de desarrolladores comparte las claves?
El uso compartido de claves es un procedimiento operativo habitual, pero ¿sabe realmente quién usa esas claves cuando quedan en un repositorio o cuando pasan de un desarrollador a otro?
¿Gestiona los derechos relativos a los certificados y las claves?
Para que el ciclo de DevOps sea seguro, es fundamental separar los derechos de creación, control y uso. Si una clave se ve vulnerada o si un desarrollador deja la empresa, ¿puede revocar el acceso del usuario?
¿Puede controlar y auditar el uso de las claves?
Son muchas las personas que deben firmar las diferentes partes de la compilación, por lo que el uso de las claves se puede tornar sumamente complejo. Si aparece una falla, ¿puede identificar el código que genera el error? ¿Tiene forma de saber quién firmó cada parte y en qué momento?
Descargue la lista de las 10 principales preguntas que los
directores de seguridad de la información deberían
plantearse acerca de su estrategia de DevOps.
Ponga sus claves a buen recaudo
A la hora de proteger el software, ¿sigue todos los pasos al pie de la letra, excepto precisamente el último y más importante?
SolarWinds: Un cuento con moraleja sobre la teoría y la práctica de la firma de códigos
DigiCert® Software Trust Manager
Proteja su software a cada paso, de la planificación al lanzamiento
DigiCert Software Trust Manager, una solución diseñada por y para equipos de DevOps, ofrece firma de código integral y continua, así como funciones de gestión de código, software y aplicaciones. La visibilidad total, el seguimiento y la auditoría de las claves y los procesos de firma garantizan que siempre sepa quién firmó qué y cuándo. Además, la automatización hace que el proceso de firma resulte rapidísimo y sencillo para los desarrolladores, de modo que no se tengan que sacrificar ni la agilidad ni los plazos de comercialización. DigiCert Software Trust Manager es mucho más que un servicio de firma de código: es todo un concepto en sí mismo que garantiza que todas las piezas del ciclo de DevOps encajen.