効果的なコード署名ポリシーを作成、実施するにはどうすればよいですか?
社内向けコード署名ポリシーガイドを作成する
成熟度レベルの高い署名要件が求められる中、组织や开発チームにはソフトウェアを保护する坚牢な署名ポリシーおよびプロセスを作成、运用することが求められています。正式なコード署名ポリシーを作成して文书化することで、开発者とエンジニアは开発したソフトウェアを保护するために必要なベストプラクティスに従って行动できるようになります。
コード署名ポリシーガイドには何を记载すればよいのですか?
効果的なコード署名ポリシーには、以下に示すようなコード署名键の発行と使用に関するガイドラインと手顺が含まれます。
键の発行
管理プロトコルを定めるときは、谁が、いつ键を発行できるかについて管理策と手顺を设定してください。チームメンバーは、各自の役割に従って、いつ署名を行うべきかを知っていなければなりません。発行する键の种类と、その键に関连付けられる属性を管理します。そうすることで、攻撃の饵食となる脆弱なアルゴリズムで新しい键を発行せずにすみます。
键管理
ユーザーロールごとに管理策と手順を設定します。誰が鍵を管理するのか。チーム内、組織内、製造段階内の役割に応じて、键管理をどのように分担するのか。これらの手順には、組織全体のすべての鍵についてのロケーション追跡が含まれる必要があります。
键の保管
鍵は保護されなければなりません。使用中および非使用時の键の保管について管理策と手順を設定します。これには HSM、トークン、USB、多要素認証を使用した鍵へのアクセスが含まれます。チームメンバーは、鍵を紛失したり、不適切に保管したりしないようにする方法を知っていなければなりません。
署名の権限
チームメンバーは、谁が署名の権限を持っているか、いつ署名を行うべきかを知っていなければなりません。また、どのような场合に署名の许可が得られないのかと、自身の役割に许可が含まれない场合に署名を要求する方法も知っていなければなりません。
键の使用方法
键をどのように使用するか(使用しないか)は、适切な署名手顺の重要な要素です。键は、适切な人の手で适切なタイミングで使用されなければなりません。
键の共有の防止
键の共有は珍しいことではありませんが、最も危険な惯行でもあります。レポジトリ内、または内部サーバー、システム、ネットワーク内であったとしても、チームメンバーは决して键を共有してはなりません。键は、适切な个人によって、その役割に応じて一意に発行、管理、保管する必要があります。
継続的署名
コードおよびソフトウェア署名は、后から思いついたように付け加えたり、面倒なコンプライアンス手顺として扱ったりしてはなりません。あらゆる CI/CD パイプラインに 継続的署名(Continuous Signing: CS)を含め、コードのセキュリティが適切に一貫性をもって守られるようにしてください。
社内向けコード署名ポリシーの书き方のすべてについては、こちらのガイドをお読みください。
