Une solution de protection des identités machine qui sécurise la signature code des entreprises et les protège contre toute utilisation non autorisée
Venafi®, inventeur et fournisseur leader des solutions de protection des identités machine, a annoncé aujourd’hui le lancement de Next-Gen Code Signing, une solution de protection des identités machine visant à sécuriser les processus de signature de code en assurant une large visibilité sur les opérations de signature de code des entreprises. Next-Gen Code Signing permet le stockage centralisé des clés privées, l’application des politiques de signature de code et l’automatisation des procédures tout en réduisant la charge de travail des équipes de développement logiciel chargées de la signature du code.
La signature de code a été employée durant des décennies pour vérifier l’intégrité des logiciels, et la quasi-totalité des sociétés y recourent de manière à confirmer que leur code n’a pas été corrompu par des logiciels malveillants. Malgré cela, les entreprises d’aujourd’hui rencontrent souvent des difficultés pour sécuriser et protéger les opérations de signature de code.
« À l’heure actuelle, chaque entreprise est un développeur logiciel qui crée des applications, des bibliothèques, des conteneurs et d’autres outils », affirme Kevin Bocek, vice president of security strategy and threat intelligence chez Venafi. « Cependant, il est souvent très difficile de faire évoluer les opérations de signature de code. Communément jugées fastidieuses, les procédures de sécurité qui protègent la signature du code sont souvent ignorées par les développeurs. Les équipes de sécurité ne disposent donc malheureusement d’aucune visibilité, une situation propice aux criminels. Les clés de signature de code volées constituent de puissantes cyber-armes ciblant les sociétés et leurs clients. De Stuxnet aux campagnes de malware et de phishing actuelles, les attaques tirant parti de la signature de code échappent aux analyses des antivirus de nouvelle génération. »
Outre la sécurisation des processus de signature de code des entreprises, Next-Gen Code Signing automatise la gestion de l’ensemble des clés privées de signature de code. Celles-ci ne quittent jamais la plateforme de stockage approuvée de Venafi ou les boîtes noires transactionnelles (BNT) connectées. Cette solution novatrice fournit aux équipes de sécurité informatique une visibilité exhaustive ainsi que des renseignements détaillés concernant toutes les facettes des opérations de signature de code, y compris les signataires, le certificat utilisé, l’approbateur de la requête et l’horodatage de chaque action. À l’aide des informations recueillies sur les processus de signature de code, Next-Gen Code Signing peut générer des rapports de conformité et d’audit portant sur toutes les activités de signature de code.
Next-Gen Code Signing offre de nombreux avantages, parmi lesquels :
• Une évolutivité permettant de prendre en charge une poignée de développeurs sur un site comme des dizaines de milliers répartis dans le monde entier ainsi que des millions d’opérations de signature de code par semaine.
• L’automatisation et la prise en charge de nombreux processus de développement logiciel sans modification des outils de développement.
• Un site de stockage centralisé et permanent assurant la sécurité des clés privées.
• Une application flexible et personnalisable des politiques compatible avec les besoins de différents projets logiciels : approbation des flux de travail, types de certificats, autorités de certification, BNT, jeux d’outils de développement logiciel, etc.
Kevin Bocek conclut : « Next-Gen Code Signing permet aux développeurs logiciels d’employer leurs outils de signature de code existants sans modifier leur environnement de développement. Cette solution offre une couche technologique invisible qui assure la protection des clés de signature de code contre les pirates. Venafi Next-Gen Code Signing propose aux équipes de sécurité et aux développeurs un logiciel innovant alliant rapidité et sécurité. »
VENAFI Next-Gen Code Signing est disponible maintenant.
Pour en savoir plus: Code Signing Research