在数字化高度发展的当下,个人隐私及信息安全保护已经成了大家关注的重点,包括日常使用的电脑软件,手机APP等,由于包含了大量的用户信息,已经成了重点关注对象,任何一个疏忽就可能泄露大量用户信息。
所以权威可信的软件是我们下载使用时的首选。由此一来,软件开发商为了让自己的软件具有高可信度,在软件公开发布前使用代码签名证书就显得十分必要。
可以说在当下,代码签名将比以往任何时候都更加重要,尤其是零信任概念的兴起。
先来看看什么是代码签名证书,代码签名证书是用来标识软件或代码的来源以及软件开发者的真实身份,同时保证软件不被恶意篡改,签名后的软件下载安装时不会弹出安全警告,用户能够有效的辨别该软件的可信度,从而建立良好的软件品牌信誉度。
在零信任环境中,代码签名是保护软件和基础设施完整性的关键步骤。在代码签名的加持下,可确保只有具备权限的人员和工具才能访问签名代码,这种签名使用户和设备能够确定哪些软件值得信任,哪些不值得信任。
当然,与安全领域的其他产品一样,引入代码签名实践并达到理想状态说起来容易做起来难。但在2023年,代码签名的引入将是防范违规和供应链攻击的关键事项。
关于代码签名当下情况和未来发展,Keyfactor现场工程副总裁Eric Mizell也发表了相关的见解。
代码签名还未普及的主因
代码签名的重要性不言而喻,但至今仍未被广泛使用,Eric Mizell表示主要跟认知有关,首先部分企业的团队不知道如何签署代码,也不知道代码签名在哪里适合他们的企业。其次,虽然代码签名在待办事项清单上,但可能是安全意识不够,导致其优先度比其他事项要低。
又或者说,企业即便引入了代码签名,但仅限于特定的小组,其他员工可能对此一无所知。
无论认识水平如何,代码签名的最大障碍之一是有限的标准和缺乏对代码签名的支持和最佳实践。
代码签名越来越重要的原因
在网络攻击和数据泄露频发的当下,网络安全的建设对数据和信息的保障中至关重要,而面对不断更替的攻击手段和技术,零信任概念的兴起获得了市场一致认可,并且被很多企业引入,代码签名之所以被看重,是因为其在实施零信任安全策略方面有着举足轻重的作用。
在互联网时代,设备应用的设计、开发到推出都是建立在代码之上,如果企业无法保障代码的安全,又如何保障应用的使用安全?
除此之外,远程办公兴起,基于工作场景的变化导致的内部威胁也在增加。具体来说,随着越来越多的工程师在家工作,许多人承担了更多的工作,并从不受信任的人那里外包了代码。这导致更多内部威胁的产生。
代码签名即将成为常态
有迹象表面,银行很快就会要求进行代码签名,这是临界点到来的第一个迹象,从历史上看,一旦高风险的安全机构(如银行)采用新的安全措施,其他行业就会紧随其后。
虽然目前代码签名的普及还处于开始阶段,不过美国刚刚出台了要求安全软件供应链的新法规,虽然目前的规定适用于向美国政府销售的供应商,但这将迅速蔓延并对其他行业产生影响。
预计在今年年底,市场对代码签名的看法会大大改观吧,毕竟伴随社会经济的快速发展,各种软件和应用程序的涌现已经不仅仅是满足我们日常的办公需求,也在渗透进入我们的生活,很多应用软件包含了我们太多个人重要信息。
随着办公环境的变化,开发人员可以在世界的任何地方,我们如何验证他们的身份,并确认他们确实是检查代码的人,如何确保从代码签入到签署构建的软件供应链的安全。
长远来看使用代码签名证书将是趋势,这将有助于软件开发企业获取更多的市场认可和用户的信赖,同时在全社会日益重视数据信息安全的今天,也将起到重要的推动作用。
了解详情
