Hoe maak ik een effectief beleid voor codeondertekening en zorg ik dat dit wordt nageleefd? Schrijf een interne beleidsgids voor codeondertekening
Eisen op het gebied van codeondertekening worden steeds strenger, waardoor organisaties en ontwikkelteams zich gedwongen zien robuuste beleidsregels en processen voor ondertekening in te richten om hun software te beschermen. Door een formeel beleid voor codeondertekening op te stellen en te documenteren, zorgt u ervoor dat uw ontwikkelaars en engineers de noodzakelijke best practices voor de beveiliging van software kunnen toepassen.
Wat moet ik opnemen in mijn beleidsgids voor codeondertekening?
Een effectief beleid voor codeondertekening omvat richtlijnen en procedures voor de uitgifte en het gebruik van sleutels voor codeondertekening, zoals:
Sleuteluitgifte
Stel bij het bepalen van beheerprotocollen vast welke controles en procedures er zijn voor wie wanneer sleutels kan uitgeven. Teamleden moeten weten wat het goede moment is om sleutels uit te geven op basis van hun rol. Beheer welke sleuteltypen kunnen worden uitgegeven, alsmede de bijbehorende attributen. Daarmee voorkomt u de uitgifte van sleutels met zwakke algoritmen, waardoor kwetsbaarheden ontstaan.
Sleutelbeheer
Stel controles en procedures in voor de gebruikersrollen. Wie beheert de sleutels? Hoe is het sleutelbeheer verdeeld over de rollen binnen het team, de organisatie of de productiefase? Deze procedures moeten ook de locatietracering omvatten voor alle sleutels in de hele organisatie.
Sleutelopslag
Sleutels moeten worden beschermd. Stel controles en procedures op voor de opslag van sleutels die al dan niet in gebruik zijn. Deze moeten onder andere HSM's, tokens, USB-sticks en sleuteltoegang met meervoudige authenticatie omvatten. Teamleden moeten weten hoe ze kunnen voorkomen dat sleutels kwijtraken of op een onjuiste manier worden opgeslagen.
Ondertekeningsmachtigingen
Teamleden moeten weten wie er gemachtigd is om te tekenen en wat daarvoor het juiste moment is. Ook moeten ze weten in welke gevallen de machtiging voor ondertekenen niet wordt toegekend en hoe ze ondertekening kunnen aanvragen als ze daartoe zelf niet gemachtigd zijn in hun rol.
Sleutelgebruik
Een kritiek onderdeel van een goede ondertekeningsprocedure is het juiste gebruik van sleutels. De sleutels moeten op het juiste moment door de juiste mensen worden gebruikt.
Delen van sleutels voorkomen
Het komt vaak voor dat sleutels worden gedeeld, maar dit brengt een groot risico met zich mee. Teamleden mogen sleutels nooit delen, ook niet binnen repository's of op interne servers, systemen en netwerken. Sleutels moeten worden uitgegeven aan één persoon in overeenstemming met diens rol, die ook zorgt voor het beheer en de opslag.
Continuous Signing
De ondertekening van code en software mag nooit een bijkomstigheid zijn of gezien worden als een saai onderdeel van compliance. Elke CI/CD-pipeline moet CS (Continuous Signing oftewel doorlopende ondertekening) omvatten zodat de beveiliging van code goed en consistent wordt toegepast.
Lees voor een uitgebreide uitleg onze gids over het schrijven van een intern beleid voor codeondertekening.
