ソフトウェアの保証とパブリッシャーの真正性を顧客に提供し、IT 運用の完全性を確保して、マルウェアの感染やデータ侵害を防ぐうえで、企業はコード署名に依存しています。しかし、コード署名プロセスが手動では、ソフトウェアアプリケーションは脆弱なままになります。鍵の盗難、鍵の不正使用、サーバーへの侵入、プロセスの安全性低下などによって、マルウェアを含むコードへの署名を許し、信頼できるソフトウェアとして配布させてしまう恐れがあります。コード署名ワークフローを自動化すると、こうした脆弱性を排除して、以下の要件を達成できます。
DigiCert® Secure Software Manager は、コード署名のワークフローを自動化してソフトウェアのセキュリティを改善します。コード署名プロセスでエンドツーエンドの全社的なセキュリティと管理性が確保されて、脆弱な点を減らすことができます。しかもその間、DevOps パイプラインを遅らせることがありません。
主な機能は以下のとおりです。
DigiCert® Secure Software Manager は、企業が必要とする以下のような柔軟性と管理性をもたらします。
セキュリティポリシーを一元的に管理できるワークフローを設定します。
鍵の保管、アクセス、および取り扱いを安全に行うことで、署名鍵への不正なアクセスやその利用を防ぎます。
リリースプロセス中に署名されるコードがベースラインビルドと一致しているかどうかを検証することで、ビルドサーバーへのマルウェアの注入を防ぎます。
アジャイル開発という目標を損ねずに、ワークフローとプロセスのセキュリティを確保します。
公開されたソフトウェアから導入環境、ファームウェアまで幅広いファイルタイプをサポートして、
シームレスに保護、管理します。
Authenticode | Android | Apple | ClickOnce | Debian | Docker
GPG | JAVA | Nuget | OpenSSL | RPM | XML
コンテナベースのアーキテクチャにより、導入と新機能のロールアウトを効率化。今後の投資を保証すながら、業界のコンプライアンス要件に対応します。
「当財団には 6 大陸に 6,000 人以上の開発者がいます。彼らが(コードサイニングのために)必要とする鍵をすべて安全に管理するのは、並大抵のことではありません。SSM では、鍵はクラウドに置かれていて、それを使って署名をすることはできるけれど、鍵そのものを実際に取り出すことはできない仕組みになっています。これは私たちにとって大きな利点です」
Key sharing opens your DevOps to attack(英文)