Est-il possible d’automatiser la signature de code ?
Oui, il est possible d’automatiser les workflows de signature de code avec DigiCert® Software Trust Manager. Pour les entreprises, l’avantage est double : elles peuvent réduire les points de vulnérabilité et ainsi renforcer la sécurité de leurs logiciels. Concrètement, c’est la promesse de pouvoir protéger le processus de signature de bout en bout à l’échelle de l’entreprise – le tout sans ralentir les pipelines DevOps.
Qu’est-ce que l’automatisation de la signature de code ?
L’automatisation de la signature de code désigne la gestion centralisée des workflows de signature de code de bout en bout, dans le cadre du cycle de développement logiciel. Elle offre les avantages suivants :
- Sécurisation des clés avec des autorisations d’accès granulaires
- Application de la politique d’entreprise en automatisant les workflows et en garantissant une gestion granulaire des utilisateurs avec des actions et des autorisations basées sur les rôles
- Centralisation du suivi et de la gestion
- Intégration aux outils et systèmes CI/CD
Les workflows de signature de code s’intègrent aux processus du cycle de développement logiciel (SDLC) – notamment au pipeline CI/CD – via des API. Il est également possible de les automatiser pour garantir le respect des exigences sectorielles et des politiques de sécurité d’entreprise. L’automatisation de la signature de code permet d’implémenter la signature de code sans freiner la publication de logiciels.
Pourquoi les risques de sécurité liés aux logiciels ont-ils augmenté ?
Trois tendances expliquent l’augmentation des risques de sécurité inhérents au code non signé :
- La fréquence des builds logiciels : les entreprises ont adopté le processus CI/CD et un modèle de développement Agile dans l’optique de raccourcir les cycles de déploiement. Résultat, le rythme des merges et des builds logiciels est beaucoup plus rapide que dans les modèles traditionnels de développement en cascade.
- Complexité croissante de la supply chain logicielle : la supply chain logicielle s’est étendue et complexifiée. En pratique, les applications et logiciels intègrent souvent un nombre incalculable de packages de code provenant de plusieurs sources ou d’entreprises tierces. Parallèlement, ces types de builds permettent de faire circuler les logiciels et le code en interne et entre les organisations. En outre, les processus et politiques de sécurité appliqués dans le cadre du développement varient d’une structure à l’autre. Dans ce contexte, le champ des menaces est donc beaucoup plus vaste que lorsqu’un logiciel est développé de bout en bout par une seule équipe de développement.
- Conséquences d’une compromission : plusieurs cas retentissants d’attaques par ransomware et de compromissions ont démontré à quel point ces événements pouvaient se révéler coûteux et entacher durablement la réputation d’une marque.
