Qu’est-ce que la signature continue de code dans le cadre du DevSecOps ?
Le DevSecOps désigne une fonction de sécurité au sein de l’équipe DevOps, qui est chargée d’élaborer et d’appliquer la politique de sécurité de l’entreprise relative aux processus de développement logiciel et d’ingénierie. Le DevSecOps peut orienter les décisions concernant la signature de code, la confidentialité des données, la supply chain logicielle et d’autres activités régissant la sécurité des systèmes et des données.
Qu’est-ce que le partage de clés ?
Le partage de clés consiste à stocker et à utiliser les mêmes clés de signature pour les différents membres d’une structure de développement. Si cette pratique garantit un accès rapide, elle augmente toutefois le risque de vol et d’utilisation abusive des clés. Elle étend également la surface et les vecteurs d’attaque – ce qui peut aboutir à des compromissions (intentionnelles ou non). En pratique, la perte et le vol de clés privées peuvent avoir un impact sur la productivité, puisqu’ils obligent les membres de l’équipe à délaisser des projets prioritaires pour assurer la remédiation. Enfin, le partage de clés peut aussi entraîner l’invalidation des anciennes versions d’une application.
Qu’est-ce qu’un module HSM ?
Un module de sécurité matériel (HSM, Hardware Security Module) est un équipement informatique spécialement conçu pour protéger et gérer les clés numériques.
Que désigne le sigle PKCS#11 ?
Le sigle PKCS#11 désigne à la fois le standard (cryptographie à clé publique) et l’API permettant d’interagir avec des jetons cryptographiques. Le standard définit l’interface avec les jetons cryptographiques tels que les modules de sécurité matériels (HSM) et les cartes à puce. L’API détermine les types d’objets cryptographiques couramment utilisés (tels que les certificats X.509) et les fonctions nécessaires pour créer/générer, modifier, utiliser et supprimer ces objets.
Qu’est-ce qu’un KSP ?
Un fournisseur de stockage de clés (KSP, Key Storage Provider) assure le stockage et la récupération de clés privées.
Qu’est-ce que la signature par hachage ?
Dans certains cas, lorsqu’un fichier doit être signé, le service de signature exige de charger l’intégralité du fichier source pour le traitement et la signature. Avec la signature par hachage, seul le hash du fichier source est chargé sur le service de signature. Cette technique est doublement avantageuse : 1) elle élimine la latence réseau inhérente au chargement d’un fichier volumineux ; 2) elle renforce la sécurité du processus de signature puisque le code source ne quitte pas l’environnement de développement.
