スピードを上げて納期を守るため、開発者はCI/CDのビルドとリリースを遅らせるようなステップを省くことがあります。DevOps部門におけるセキュリティ対策が弱い(または存在しない)状態状態になっていたのはそのためです。これまではセキュリティを完全にコントロールするのはかなり時間がかかる作業だったため、開発者は抜け道を見つける必要があったのです。しかし、その抜け道こそがソフトウェアを侵害のリスクに晒していました。
鍵の共有は運用手順として珍しくありません。しかし、鍵がリポジトリに置かれたり、チームの別のメンバーに渡されたりした後、その鍵を誰が使用しているか本当に把握できますか?
生成、制御、使用の分離は、優れたDevOpsセキュリティに不可欠な要素です。鍵が侵害された場合や、開発者が退職した場合などにユーザーアクセスを削除できますか?
多くのユーザーがビルドの多くの部分に署名すると、鍵の使用を管理することはすぐに不可能に近い程複雑化します。何か問題が起こったとき、不正なコードを特定できますか? 誰が何にいつ署名したのか把握できていますか?
ソフトウェアのセキュリティの最後の重要なステップ以外について、すべてのステップを適切に行っていますか?
コード署名の理論と実践に関する注意話
DevOpsにより、DevOpsのために設計されたDigiCert Secure Software Managerは、コード、ソフトウェア、アプリに継続的なエンドツーエンドのコード署名およびコード管理を提供します。鍵と署名プロセスの完全な可視性、追跡、監査により、誰が何にいつ署名したのかすべて把握できるようになります。開発者から見ると、プロセスの自動化によって署名がシームレス、シンプル、かつスピーディになり、俊敏性や市場投入までの期間について妥協する必要がなくなります。DigiCert Secure Software Managerはただのコード署名サービスではありません。DevOpsのほころびを実際に埋めるマインドセットなのです。