ÃÛÌÒTV

FAQ Hero
Fiducia nella firma del codice

Cos'è la firma continua del codice per CI/CD?

Cos'è il processo CI/CD?

CI/CD è l'acronimo di "Continuous Integration/Continuous Delivery" o "Continuous Integration/Continuous Deployment". Si tratta di un processo di sviluppo del software che supporta metodologie di sviluppo agili, mirate a fornire software in cicli di rilascio frequenti e di alta qualità. L'integrazione continua (Continuous Integration) si riferisce ai processi automatizzati usati per la sequenza di build, test e merge in un repository condiviso. Il delivery continuo (Continuous Delivery) si riferisce a un approccio automatizzato per il test e rilascio del codice nel repository condiviso. La distribuzione continua (Continuous Deployment) supporta invece sequenze automatizzate per l'invio del codice in produzione. Adottando una pipeline CI/CD e metodologie di sviluppo agili, le aziende sono in grado di iterare rapidamente le caratteristiche e le funzioni del software e di fornirle al mercato con elevata qualità. Molti team di sviluppo eseguono i processi CI/CD più volte al giorno.

Cos'è la firma continua, o Continuous Signing (CS), per il processo di integrazione continua/delivery continuo (CI/CD)?

Come per il processo CI/CD, la firma continua è una modalità operativa di sviluppo del software volta e eliminare le lacune di sicurezza con l'implementazione di una firma del codice completa e automatizzata. Il processo CS distribuisce certificati di firma software automatizzati che vengono emessi e controllati tramite una piattaforma di gestione dei certificati centralizzata come ÃÛÌÒTV® Software Trust Manager all'interno di ÃÛÌÒTV® ONE. Questi strumenti automatizzati assicurano che il codice venga firmato in modo continuo e corretto in tutta la build CI/CD, a prescindere dalla fase di sviluppo, da chi o da quante persone intervengono sul codice.

Inoltre, la firma continua attribuisce marcatori di identità crittograficamente univoci, in modo che ogni persona autorizzata possa vedere quando è stato firmato il codice e quale chiave di certificato è stata utilizzata per la firma. La CS riduce di molto il rischio di errore umano, migliorando al contempo l'integrità e la sicurezza del codice in un sistema di sviluppo rapido che può prevedere più tappe, con diversi sviluppatori e diverse organizzazioni lungo la supply chain del software.

Come si inserisce la firma del codice in un processo di integrazione continua/delivery continuo (CI/CD)?

Il CI/CD è un processo SDLC che supporta metodologie di sviluppo agili, mirate a fornire software in cicli di rilascio frequenti, in modo rapido e di alta qualità. L'integrazione continua (Continuous Integration) si riferisce ai processi automatizzati usati per la sequenza di build, test e merge in un repository condiviso. Il delivery continuo (Continuous Delivery) si riferisce a un approccio automatizzato per il test e rilascio del codice nel repository condiviso. E la distribuzione continua (Continuous Deployment) supporta infine sequenze automatizzate per l'invio del codice in produzione.

Quando il codice o il software è pronto per la produzione, può essere rilasciato a più organizzazioni e/o reparti e installato sui loro sistemi. Il codice deve essere firmato prima del rilascio, affinché le organizzazioni o i reparti che lo ricevono possano verificare l'identità dell'editore del codice e accertarsi che il codice non sia stato alterato dal momento del rilascio a quello del download.

L'integrazione con gli strumenti CI/CD può automatizzare la firma del codice all'interno del processo CI/CD. La firma automatica del codice con controlli di sicurezza consente a un'organizzazione di rispettare le policy di sicurezza aziendale senza rallentare il processo di sviluppo del software. Inoltre, la verifica che anche il codice proveniente da altre fonti incluse nel processo CI/CD sia firmato assicura che tali codici siano attendibili e possano essere inclusi nel processo di sviluppo del software.