代碼簽名就是軟件發(fā)布者使用全球可信的證書頒發(fā)機(jī)構(gòu)CA頒發(fā)的代碼簽名證書對(duì)軟件代碼進(jìn)行簽名，由此來(lái)驗(yàn)證軟件開發(fā)者的真實(shí)身份，確保軟件代碼的完整性和可信任性。然而，攻擊者一直試圖滲透代碼簽名，意將惡意軟件嵌入可信代碼中。由此，為了降低被攻破的風(fēng)險(xiǎn)，本文將介紹8大代碼簽名最佳實(shí)踐。

1、安全密鑰存儲(chǔ)

如果用于簽名的私鑰被泄露或從組織竊取，它就會(huì)被用來(lái)對(duì)嵌入惡意軟件的軟件進(jìn)行簽名，這樣發(fā)布的軟件就會(huì)被注冊(cè)為源自該組織的合法軟件。由此，私鑰應(yīng)存儲(chǔ)在硬件安全模塊（HSM）進(jìn)行保護(hù)中，或在靜態(tài)時(shí)加密。根據(jù) CA/Browser (CA/B) 論壇的要求，用于公共信任的密鑰必須存儲(chǔ)在 HSM 中。

2、執(zhí)行密鑰和簽名訪問控制

設(shè)置策略并執(zhí)行密鑰訪問控制，確保只有經(jīng)過(guò)授權(quán)的開發(fā)人員和用戶才能在需要時(shí)使用特定密鑰簽名。在云中生成密鑰，以免密鑰被共享、丟失或竊取。實(shí)施職責(zé)分離，即把生成密鑰的人和簽名的人的職責(zé)分開。實(shí)施多因素身份驗(yàn)證（MFA），確保訪問簽名的人確實(shí)是本人。取消已離職人員或不再需要訪問簽名或生成密鑰的人員的訪問權(quán)限。

3、監(jiān)控和審核密鑰簽名工作流程

跟蹤什么人在什么時(shí)間簽署了什么，以便對(duì)未經(jīng)授權(quán)的簽署做出快速反應(yīng)，并采取適當(dāng)?shù)难a(bǔ)救措施。定期審核與密鑰對(duì)相關(guān)的所有操作，包括生成、證書操作以及分配密鑰和簽名行動(dòng)。

比如采用統(tǒng)一數(shù)字證書管理系統(tǒng)UCM，申請(qǐng)、管理、部署數(shù)字證書，并對(duì)包含代碼簽名證書在內(nèi)的所有數(shù)字證書定期掃描、監(jiān)控和檢測(cè)，給予預(yù)警通知。

4、與時(shí)俱進(jìn)，在全公司范圍內(nèi)執(zhí)行加密標(biāo)準(zhǔn)政策

為了幫助企業(yè)在威脅形勢(shì)中保持領(lǐng)先，行業(yè)要求會(huì)與時(shí)俱進(jìn)。CA/B論壇的規(guī)定要求，自2021年6月1日起，公眾信任的代碼簽名和時(shí)間戳證書的最低密鑰要求為3072位RSA。組織內(nèi)的開發(fā)人員和用戶在生成密鑰或簽署代碼時(shí)可能不會(huì)意識(shí)到這些變化，而企業(yè)必須執(zhí)行行業(yè)要求，防止用戶使用弱算法或不符合要求的算法、密鑰大小或曲線生成密鑰或申請(qǐng)證書。

5、在 SDLC 流程中啟用自動(dòng)代碼簽名

在 SDLC 流程（如 CI/CD 管道）中集成簽名并實(shí)現(xiàn)簽名自動(dòng)化，從而降低未簽名代碼或簽名不合規(guī)的風(fēng)險(xiǎn)。可以設(shè)置安全控制自動(dòng)化，在持續(xù)、快速的軟件開發(fā)過(guò)程中構(gòu)建安全、合規(guī)的軟件。

6、比較來(lái)自不同構(gòu)建服務(wù)器的簽名：

在發(fā)布之前，對(duì)來(lái)自不同構(gòu)建服務(wù)器的軟件哈希值進(jìn)行簽名和比較，以確定服務(wù)器構(gòu)建之間是否存在任何差異。兩個(gè)或更多相同構(gòu)建的法定數(shù)量可確保構(gòu)建中沒有包含未知代碼，構(gòu)建是安全的。

7、撤銷受損代碼簽名證書

如果發(fā)現(xiàn)密鑰泄露或簽名了惡意軟件，請(qǐng)向證書頒發(fā)機(jī)構(gòu)（CA）報(bào)告，需要撤銷代碼簽名證書，以使軟件失效從而阻止惡意軟件進(jìn)一步傳播。

8、為已簽名的代碼打上時(shí)間戳

為已簽名的代碼打上時(shí)間戳，避免代碼簽名證書過(guò)期時(shí)軟件意外失效的風(fēng)險(xiǎn)。代碼簽名證書的有效期一般為1~3 年，代碼簽名證書過(guò)期后，已簽名軟件的有效性也將過(guò)期，除非軟件在簽名時(shí)有時(shí)間戳。系統(tǒng)會(huì)記錄時(shí)間戳，只要軟件還在生產(chǎn)中，就會(huì)繼續(xù)有效。

給代碼打上時(shí)間戳的另一個(gè)原因是盡量減少證書吊銷的影響。一旦發(fā)現(xiàn)惡意軟件，相關(guān)證書必須被吊銷，而時(shí)間戳?xí)⒂绊懡档阶畹?，因?yàn)榈蹁N只會(huì)影響到吊銷日期之后發(fā)布的軟件。

總結(jié)

在當(dāng)今軟件驅(qū)動(dòng)的世界中，代碼簽名是一項(xiàng)必不可少的安全措施，它可確保軟件的完整性和安全性，能讓用戶相信他們下載的軟件來(lái)源合法，也能讓軟件開發(fā)者保持值得信賴的品牌聲譽(yù)。在日益復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境下，實(shí)施8大代碼簽名最佳實(shí)踐，有利于軟件開發(fā)者實(shí)現(xiàn)安全代碼簽名。