为什么要实现代码签名的自动化?
企业依靠代码签名让消费者对软件及发布者的真实性放心,确保IT操作的完整性,并防止恶意软件传播或数据泄露。然而,手动的代码签名流程仍然会使软件应用程序容易遭受攻击。密钥失窃、密钥滥用、服务器数据泄露和不安全的流程能让带有恶意软件的代码获得签名并作为受信任的软件分发。代码签名工作流程的自动化有助于消除这些薄弱环节并提供:
- 端到端安全性
- 策略合规性
- 更快速的修复
- 更好的加密敏捷性
不负所望的自动化
DigiCert® Software Trust Manager通过代码签名工作流程自动化提高软件安全性,自动化能减少薄弱环节,提供 整个公司范围内代码签名流程中的端到端安全性与管控力——所有这些都不会让您的DevOps管道减速。
重要功能包括:
安全密钥
签名密钥在本地 或云端HSM中获得安全保护,免遭 盗窃或不安全的密钥实践,并具有细化的访问和使用控制选项
策略执行
细化的 角色和 权限 以及自动化的工作流程 确保遵守 安全 策略。
集中 管理
审核追踪签名者和签名内容、签名时间,以及证书全生命周期 处理, 便于 管理和 修复。
与CI/CD集成
与CI/CD管道的集成 确保 高效且一致的签名 而不会减慢开发速度。
企业级功能
DigiCert® Software Trust Manager提供那些企业需要的灵活性 和管控力 :
细化的账户管理和用户访问控制
配置使您能够集中控制安全策略的工作流程:
- 配置并标准化工作流程功能、用户结构、角色和权限
- 易于为具有特定网站要求的设施生成专属的专用CA
- 可在整个企业的证书环境中导入和导出来自任何CA的自签名证书、专用证书和公共最终实体证书
- 易于审核追踪签名活动,具有时间戳以进行快速修复
密钥和证书安全性控制
通过安全的密钥存储、访问和处理,防止未经授权的访问和签名密钥使用:
- 与本地或云端交付HSM集成
- 映射到密钥处理需求的密钥访问配置文件:生产、测试、
按需、离线、开放、受限 - 静态、动态和漫游使用模式
- 双用户确认选项
- 证书配置文件模板和工作流程
- 具有多因素身份验证的细化的密钥访问授权
发布流程控制
防止恶意软件被注入生成服务器,并验证在发布流程中签名的代码是否与基线版本相匹配。
与DevOps工作流程无缝集成
在不减慢敏捷开发目标的情况下获得工作流程和流程安全性:
- 通过PKCS11/KSP与Jenkins、Azure Pipelines、Gradle等DevOps CI/CD工具进行原生集成
- 哈希签名以减少延迟并保持代码安全
- 通过API、命令行或控制台签名
- 多种签名工具的通用接口
支持多种用例 和文件类型
无缝保护并管理从已发布软件到部署环境到固件的所有内容,并支持多种文件类型。
已发布软件
IT应用程序
固件
容器
软件映像
移动应用程序
Authenticode | Android | Apple | ClickOnce | Debian | Docker
GPG | JAVA | Nuget | OpenSSL | RPM | XML
可扩展的灵活部署
使用基于容器的架构简化部署和新功能的推出,让您的投资经受住未来的考验,并使您能够及时了解行业合规性要求:
- 使用可快速部署且高度可扩展的基于容器的架构,快速实现价值
- 部署模式的灵活性:本地、公共或私有云,或混合式部署
- 与本地数据中心配对以满足国内要求
- 专属的专用CA选项
来自客户的反馈
“我们在六大洲共有6,000多名开发人员。力图确保他们所需要的(用于代码签名的)所有密钥安全无虞是一项噩梦般的任务。通过使用SSM,所有密钥都保留在云端,仅向相关人员提供进行签名的密钥访问权限,而不让他们获得实际的密钥。这对于我们来说是巨大的收获。”
