2023年的代码签名将有哪些期待?意识的提高,新的法规,以及更多
当我们进入2023年时,代码签名将比以往任何时候都更加重要--这是很重要的一点。
在今天的零信任环境中,代码签名是保护软件和基础设施完整性的关键步骤。如果操作得当,代码签名可以确保只有合适的人和工具才能签署代码,而这种签名使用户和设备能够确定哪些软件值得信任,哪些不值得信任。
当然,就像安全领域的所有事情一样,围绕代码签名引入正确的实践以实现预期的最终状态,说起来容易做起来难。但是,为了防止漏洞和供应链攻击,正确的做法将是2023年的一项重要任务。
那么,目前围绕代码签署的情况到底是什么样子的,我们可以预期在未来一年中会有什么变化?为了回答这些问题,我们与Keyfactor的现场工程副总裁Eric Mizell进行了会谈。以下是他的看法。
Keyfactor:在你看来,代码签名还没有被广泛采用的主要原因是什么?
Eric Mizell: 我相信有几个原因,代码签名还没有被广泛采用,其中大部分与不同的认识水平有关。这些原因,从最低的认识水平开始,。
- 团队不知道如何签署代码,也不知道代码签署在哪里适合他们的组织。
- 代码签署在待办事项清单上,但比其他优先事项要低。
- 代码签署正在发生,但仅限于一个特定的小组,可能不为更大的组织所知。
最后,无论认识水平如何,代码签署的最大障碍之一是有限的标准和缺乏对代码签署的支持和最佳实践。
Keyfactor:尽管采用滞后,为什么代码签名变得越来越重要?
Eric:首先,代码签名在实施零信任安全策略方面发挥了重要作用,而零信任安全策略正迅速成为各组织的标准。每家公司都是一家软件公司,他们建立和部署的应用程序的数量持续增长。如果你不签名,你怎么能相信你所建立和部署的东西(零信任)?
除此之外,我们还看到内部威胁的增加。具体来说,随着越来越多的工程师在家工作,许多人承担了更多的工作,并从不受信任的人那里外包了代码。这导致了更多的内部威胁,并将要求组织引入更多的检查和平衡(其中之一应该是代码签名)来应对。
Keyfactor:随着对代码签名重要性的认识的提高,我们是否可以期待看到更多的标准被引入?
Eric:当然可以,GitHub已经开始制定标准了。最近,GitHub推出了认证要求,以验证检查代码的人。事实上,公司现在可以在GitHub内启用一项功能,要求对开发者进行证书授权,以确保代码来自于指定的开发者。这是软件供应链中的第一步,以确保代码来自受信任的开发者。
Keyfactor:你认为我们何时才能达到代码签名成为常态的临界点?
埃里克:幸运的是,很快。银行很快就会要求进行代码签名,这是临界点到来的第一个迹象,因为从历史上看,一旦高风险的安全机构(如银行)采用新的安全措施,其他行业就会紧随其后。
这就是说,我们仍然处在这个问题的开始阶段,因为美国刚刚出台了要求安全软件供应链的新法规。目前的规定适用于向美国政府销售的供应商,但这将迅速蔓延,我预计在今年年底会看到一个非常不同的景观。
Keyfactor:我们是否有任何国际标准可以作为一个模型?
埃里克:到目前为止,美国的要求与国际上的要求非常相似,但许多欧盟公司领先于其美国同行。随着我们了解的增多,我们可能会发现源于欧盟的更严格的规定。
Keyfactor:你认为是什么推动了这些对银行的新要求?
Eric: 很简单,我们不能再以 "信任和验证 "的方式生活。我们现在生活在一个零信任的世界里,这意味着我们必须确保我们建立和部署的所有软件、脚本和二进制文件都以安全的方式签署。
Keyfactor:许多银行服务现在是国际化的,这是否使他们提供这种安全水平的能力变得复杂了?
埃里克:这个问题延伸得更广。我认为每个公司都有这个问题,因为开发人员不再一定在同一个办公室的安全网络上工作。当开发人员可以在世界的任何地方,我们如何验证他们的身份,并确认他们确实是检查代码的人?确保从代码签入到签署构建的软件供应链的安全是正确的发展道路。
声明:本文相关资讯来自Keyfactor,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站删除。