数字信任:
企业IT、PKI与身份
使用 DigiCert 管理代码签名并发布可信软件
软件签名始于密钥对存储,但真正的软件信任有更严格要求 - 在管理复杂的全球团队和漏洞以及应对不断演变的法规的同时,还要为后量子加密 (PQC) 做好准备。
您需要一种解决方案,将成本高昂的混乱状态转化为与软件开发需求节奏相匹配的精简流程。
通过将最佳实践编码到基于团队和角色的访问控制 (RBAC)中,确保一致性和合规。
在软件发布前检查软件是否存在漏洞、恶意软件和许可证问题,此时修复成本更低。
了解 Software Trust Manager 如何将策略嵌入管理访问和操作的配置文件。了解威胁扫描结果如何指导您解决问题。
与大多数签名工具不同,Software Trust Manager 除了能够进行密钥和证书管理、精细访问控制外,还集成了威胁扫描和 SBOM,因此能够创建一种策略驱动型方法来安全地发布软件。
实施企业级签名策略,同时促进去中心化运营。
在签名之前了解恶意软件和漏洞风险。
将威胁扫描和代码签名纳入 CI/CD 流程中。
通过扫描代码中的恶意软件、漏洞和暴露的机密信息来减少攻击面。
通过集中治理和策略确保证书和密钥体系的一致性与合规性。
避免由于在已发布软件中修复安全问题而产生的高昂成本,并通过 SBOM 跟踪已发布组件。
DeNA 从在办公室内使用加密狗进行 EV 代码签名,转为在任何地点使用安全的云密钥进行签名,同时实现了更强的控制并提升了签名速度。
确保软件供应链安全的五大策略
企业代码签名策略示例
利用 DigiCert Software Trust Manager 将 NIST SSDF 自动化