Venafi stellt Next-Gen Code Signing vor
25. Juli 2019
Das Next-Gen Code Signing von Venafi gilt als Lösung zum Schutz von Maschinenidentitäten. Dazu sichert sie die Code Signing-Prozesse ab, indem sie einen unternehmensweiten Einblick in alle Code Signing-Vorgänge ermöglicht. Sie bietet eine zentralisierte Speicherung privater Schlüssel, die Durchsetzung von Richtlinien für das Code Signing sowie eine weitgehende Automatisierung. Damit reduziert sich der Aufwand für das Code Signing auf Seite der Software-Entwicklungsteams.
Seit Jahrzehnten wird Code Signing zur Überprüfung der Integrität von Software verwendet, fast jedes Unternehmen verlässt sich darauf, dass sein Code nicht durch Malware beschädigt wurde. Dennoch haben Unternehmen oft Schwierigkeiten, Code Signing-Operationen abzusichern und zu schützen, weil sie keine Lösung haben, die es ihnen ermöglicht, Richtlinien standortübergreifend, werkzeug- und prozessübergreifend durchzusetzen, ohne die Entwicklungsteams aufzuhalten.
Heute entwickelt jedes Unternehmen Software und damit Anwendungen, Bibliotheken, Container und andere Tools. Es kann jedoch sehr schwierig sein, Code Signing-Operationen zu skalieren. Die Sicherheitsverfahren zum Schutz der Codesignatur werden typischerweise als schwerfällig angesehen und Entwickler ignorieren sie oft. Leider lässt dies die Sicherheitsteams im Dunkeln und ist für bösartige Akteure sehr vorteilhaft. Gestohlene Code Signing-Keys sind leistungsstarke Cyber-Waffen, die Unternehmen und ihre Kunden gefährden. Von Stuxnet bis hin zu alltäglichen Malware- und Phishing-Kampagnen, Angriffe, die Codesignatur nutzen, entziehen sich der AV-Erkennung der nächsten Generation.
Neben der Sicherung von Unternehmenscode-Signierungsprozessen automatisiert Next-Gen Code Signing die Verwaltung aller privaten Schlüssel für die Code-Signierung. Private Code-Signaturschlüssel verlassen niemals die vertrauenswürdige Venafi-Speicherplattform oder angeschlossene Hardware-Sicherheitsmodule (HSMs).
Diese Lösung bietet IT-Sicherheitsabteilungen eine umfassende Transparenz und detaillierte Informationen über alle Aspekte der Code-Signierungsvorgänge, einschließlich der Frage, wer den Code und mit welchem Zertifikat signiert, und wer die Anfrage genehmigt sowie wann jede Aktion stattgefunden hat. Auf der Grundlage der Erkenntnisse aus Code Signing-Prozessen liefert Next-Gen Code Signing Compliance- und Audit-Berichte über alle Code Signing-Aktivitäten. (rhh)
