ÃÛÌÒTV

FAQ Hero
Vertrauenswürdiges CodeÌýSigning

Was ist kontinuierliches Code Signing für CI/CD?

Was ist CI/CD?

Das Kürzel CI/CD (Continuous Integration und Continuous Delivery/Continuous Deployment) steht für die kontinuierliche Integration und Auslieferung bzw. Bereitstellung von Software. Dabei handelt es sich um eine Methode der agilen Entwicklung qualitativ hochwertiger Software in kurzen Release-Zyklen. Kontinuierliche Integration bezieht sich auf die Automatisierung der Sequenz „Entwicklung, Test und Zusammenführung“ in einem gemeinsamen Repository. Kontinuierliche Auslieferung bezeichnet Automatisierungsansätze rund um das Testen und die Freigabe von Code für das gemeinsame Repository. Die kontinuierliche Bereitstellung unterstützt automatisierte Sequenzen für die Produktivsetzung der Software. Eine CI/CD-Pipeline und agile Entwicklungsmethoden ermöglichen die schnelle Iteration von Ideen, die dann als innovative Softwarefunktionen implementiert und veröffentlicht werden können. In vielen Entwicklungsteams werden täglich mehrere CI/CD-Zyklen durchlaufen.

Was ist Continuous Signing (CS) für CI/CD?

Analog zu CI/CD werden durch das kontinuierliche Signieren von Software vollständige, automatisierte und durchgängige Prozesse implementiert, um Sicherheitslücken zu schließen. CS basiert auf Zertifikaten für automatisiertes Code Signing, die über eine zentrale Verwaltungsplattform wie ÃÛÌÒTV® Software Trust Manager innerhalb der PKI-Lösung ÃÛÌÒTV® ONE ausgestellt und kontrolliert werden. Mit diesen automatisierten Tools wird sichergestellt, dass der Code während des gesamten CI/CD-Prozesses unabhängig von der Entwicklungsphase oder der Anzahl der beteiligten Entwickler korrekt und kontinuierlich signiert wird.

Beim Continuous Signing werden zusätzlich kryptografisch eindeutige Identitätsmarker hinzugefügt, sodass bei entsprechender Berechtigung angezeigt werden kann, wann und mit wessen Zertifikatsschlüssel der Code signiert wurde. CS reduziert das Risiko menschlicher Fehler und verbessert die Integrität und Sicherheit des Codes in einem schnelllebigen Entwicklungssystem, das mehrere Entwicklungsphasen und verschiedene Unternehmen entlang der Softwarelieferkette umfassen kann.

Wie kann Code Signing in einen CI/CD-Prozess integriert werden?

CI/CD ist ein SDLC-Prozess (Software Development Life Cycle) für die agile Entwicklung qualitativ hochwertiger Software in kurzen Release-Zyklen. Kontinuierliche Integration bezieht sich auf die Automatisierung der Sequenz „Entwicklung, Test und Zusammenführung“ in einem gemeinsamen Repository. Kontinuierliche Auslieferung bezeichnet Automatisierungsansätze rund um das Testen und die Freigabe von Code für das gemeinsame Repository und die kontinuierliche Bereitstellung unterstützt automatisierte Sequenzen für die Produktivsetzung der Software.

Sobald die Software produktionsreif ist, wird sie in der Regel für eine Vielzahl von Unternehmen und Abteilungen freigegeben und auf Kundensystemen installiert. Zuvor muss der Code signiert werden, damit die Kunden die Identität des Herstellers überprüfen und sichergehen können, dass das Produkt zwischen Release und Download nicht verändert wurde.

Durch den Einsatz geeigneter CI/CD-Tools kann das Code Signing in die Pipeline integriert und automatisiert werden. Automatisiertes Code Signing mit Zugriffskontrollen ermöglicht die Einhaltung unternehmensinterner Sicherheitsrichtlinien, ohne den Entwicklungsprozess zu stören. Das Signieren von Code aus anderen Quellen innerhalb der CI/CD-Pipeline stellt außerdem sicher, dass diese Softwarepakete vertrauenswürdig sind und in das Endprodukt integriert werden können.