當我們進入2023年時,代碼簽名將比以往任何時候都更加重要--這是很重要的一點。
在今天的零信任環境中,代碼簽名是保護軟件和基礎設施完整性的關鍵步驟。如果操作得當,代碼簽名可以確保只有合適的人和工具才能簽署代碼,而這種簽名使用戶和設備能夠確定哪些軟件值得信任,哪些不值得信任。
當然,就像安全領域的所有事情一樣,圍繞代碼簽名引入正確的實踐以實現預期的最終狀態,說起來容易做起來難。但是,爲了防止漏洞和供應鏈攻擊,正確的做法將是2023年的一項重要任務。
那麼,目前圍繞代碼簽署的情況到底是什麼樣子的,我們可以預期在未來一年中會有什麼變化?爲了回答這些問題,我們與Keyfactor的現場工程副總裁Eric Mizell進行了會談。以下是他的看法。
Keyfactor:在你看來,代碼簽名還沒有被廣泛採用的主要原因是什麼?
Eric Mizell: 我相信有幾個原因,代碼簽名還沒有被廣泛採用,其中大部分與不同的認識水平有關。這些原因,從最低的認識水平開始,。
- 團隊不知道如何簽署代碼,也不知道代碼簽署在哪裏適合他們的組織。
- 代碼簽署在待辦事項清單上,但比其他優先事項要低。
- 代碼簽署正在發生,但僅限於一個特定的小組,可能不爲更大的組織所知。
最後,無論認識水平如何,代碼簽署的最大障礙之一是有限的標準和缺乏對代碼簽署的支持和最佳實踐。
Keyfactor:儘管採用滯後,爲什麼代碼簽名變得越來越重要?
Eric:首先,代碼簽名在實施零信任安全策略方面發揮了重要作用,而零信任安全策略正迅速成爲各組織的標準。每家公司都是一家軟件公司,他們建立和部署的應用程序的數量持續增長。如果你不簽名,你怎麼能相信你所建立和部署的東西(零信任)?
除此之外,我們還看到內部威脅的增加。具體來說,隨着越來越多的工程師在家工作,許多人承擔了更多的工作,並從不受信任的人那裏外包了代碼。這導致了更多的內部威脅,並將要求組織引入更多的檢查和平衡(其中之一應該是代碼簽名)來應對。
Keyfactor:隨着對代碼簽名重要性的認識的提高,我們是否可以期待看到更多的標準被引入?
Eric:當然可以,GitHub已經開始制定標準了。最近,GitHub推出了認證要求,以驗證檢查代碼的人。事實上,公司現在可以在GitHub內啓用一項功能,要求對開發者進行證書授權,以確保代碼來自於指定的開發者。這是軟件供應鏈中的第一步,以確保代碼來自受信任的開發者。
Keyfactor:你認爲我們何時才能達到代碼簽名成爲常態的臨界點?
埃裏克:幸運的是,很快。銀行很快就會要求進行代碼簽名,這是臨界點到來的第一個跡象,因爲從歷史上看,一旦高風險的安全機構(如銀行)採用新的安全措施,其他行業就會緊隨其後。
這就是說,我們仍然處在這個問題的開始階段,因爲美國剛剛出臺了要求安全軟件供應鏈的新法規。目前的規定適用於向美國政府銷售的供應商,但這將迅速蔓延,我預計在今年年底會看到一個非常不同的景觀。
Keyfactor:我們是否有任何國際標準可以作爲一個模型?
埃裏克:到目前爲止,美國的要求與國際上的要求非常相似,但許多歐盟公司領先於其美國同行。隨着我們瞭解的增多,我們可能會發現源於歐盟的更嚴格的規定。
Keyfactor:你認爲是什麼推動了這些對銀行的新要求?
Eric: 很簡單,我們不能再以 "信任和驗證 "的方式生活。我們現在生活在一個零信任的世界裏,這意味着我們必須確保我們建立和部署的所有軟件、腳本和二進制文件都以安全的方式簽署。
Keyfactor:許多銀行服務現在是國際化的,這是否使他們提供這種安全水平的能力變得複雜了?
埃裏克:這個問題延伸得更廣。我認爲每個公司都有這個問題,因爲開發人員不再一定在同一個辦公室的安全網絡上工作。當開發人員可以在世界的任何地方,我們如何驗證他們的身份,並確認他們確實是檢查代碼的人?確保從代碼簽入到簽署構建的軟件供應鏈的安全是正確的發展道路。
聲明:本文相關資訊來自Keyfactor,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站刪除。