AppViewX AVX ONE 碼簽解決方案與 GitHub 整合,讓 PowerShell 腳本檔案的碼簽政策得以實施。透過這項整合,DevOps 團隊可以自動化碼簽過程,並將簽署過的腳本上傳至 GitHub,從而增強安全性。
什麼是碼簽
碼簽是指對檔案進行數位簽名,以證明軟體、韌體或行動應用程式的可靠性、真實性和完整性。開發者使用私鑰和碼簽證書,對碼進行數位簽名,以證明該碼來自經過驗證的來源,並且自簽署以來沒有被篡改。這樣可以確保你安裝、運行或分享的軟體或檔案是值得信賴的。
如果軟體或碼在數位簽名後被篡改,數位簽名將失效,並且用戶會被警告不要依賴這類軟體。數位簽名中包含時間戳,顯示檔案簽署的確切時間。碼簽證書的有效期通常為一到三年。自 2025 年 6 月 15 日起,證書授權機構/瀏覽器 (CA/B) 論壇已指示將碼簽證書的最大有效期從 39 個月縮短至 460 天。
當證書的有效期過後,它將過期。如果沒有添加時間戳,數位簽名將失去有效性,並引發安全問題。哈希簽名或客戶端哈希是指客戶端對要簽名的碼進行哈希,並將哈希發送到簽名服務,而不是直接上傳源碼檔案。這種方法通過將源碼隱藏在外部環境中來提高安全性,並減少因上傳大型檔案而帶來的性能延遲。
使用 AVX ONE 創建簽名政策和碼簽
在 AppViewX AVX ONE 碼簽解決方案中創建簽名政策時,需要輸入一組參數,以確保數位資產的安全和有效簽名。首先,為政策指定一個描述性名稱,並可能添加描述,以便於識別和理解其目的。接著,指定簽名類型,這可以包括各種碼類別,如 PS1、JAR、APK 等。
此外,支持多種碼類型以適應不同的使用情況和行業標準是非常重要的。能夠簽署不同類型的碼,確保簽名政策在多種情境中的靈活性和適用性,從而提高其在組織內的有效性和實用性。在這個背景下,選擇適當的加密算法至關重要。
AVX ONE 碼簽具有選擇簽署檔案的算法的功能,如 RSA,提供強大的安全性和效率,或 ECDSA(橢圓曲線數位簽名算法),以其較小的密鑰大小和更快的處理速度而聞名。此外,哈希函數的選擇在簽名過程中確保數據完整性方面也扮演著重要角色。SHA-256 或 SHA-512 等哈希函數因其加密強度和廣泛應用而被普遍使用。
簡化 DevOps 的碼簽過程,保護你的軟體供應鏈,使用 AVX ONE 碼簽
作為政策配置的一部分,定義何時應該應用該政策的規則是必不可少的。這些規則可能包括簽署內容的類型和來源、簽署者的身份或特定的上下文標準。隨後,您需要列出在滿足指定條件時要執行的動作。
這可能涉及從證書存儲中選擇要使用的簽名證書,指定要包含在簽署內容中的其他元數據,或配置簽署後的操作,如時間戳或存檔。
考慮到政策的過期,確保持續的相關性和遵守安全最佳實踐。通過設置過期日期,您可以控制碼簽證書的生命週期。此外,定義政策的範圍可以明確規則和行動的適用範圍,無論是針對特定應用程式還是系統。
仔細定義算法選擇、哈希函數、規則和支持的碼類型,確保 AVX ONE 碼簽解決方案的穩健性和安全性,使組織能夠維持嚴格的簽名標準,同時與其他 AppViewX 解決方案無縫整合。
AppViewX AVX ONE 碼簽與 GitHub 的整合:
AVX ONE 碼簽解決方案中的整合中心功能提供了一個靈活的解決方案,用於安全地存儲 URL 及其憑證,支持多種身份驗證方法,以確保與外部應用程式的無縫整合。它提供了一種方便的方式來驗證 URL,確保與外部系統建立的連接的完整性,當將它們與 AppViewX 整合時。
為了促進與 GitHub 的整合,用戶可以導航至 GitHub 帳戶設置部分,並在開發者設置下訪問「個人訪問令牌」。在這裡,可以通過提供描述、選擇適當的範圍來定義所需的訪問級別,並設置過期日期以增加安全性來生成新的令牌。
一旦憑證安全地存儲在整合中心,用戶可以利用 AppViewX AVX ONE 平台全面自動化流程。這種自動化可以涉及從 GitHub 倉庫中提取檔案,並在 AVX ONE 碼簽解決方案中使用在創建簽名政策時確定的預定算法和哈希函數進行簽名,確保過程的有效性和安全性。
隨後,簽署過的 PowerShell 腳本檔案可以上傳回 GitHub,創建新的分支,以維護源碼的完整性,同時提高整個軟體開發和部署生命周期的安全性和效率。
通過將 AppViewX AVX ONE 碼簽與 GitHub 整合並利用其功能,DevOps 團隊可以在其倉庫內建立一個流暢的 PowerShell 腳本碼簽過程。這確保了增強的安全性和合規措施,同時促進了軟體開發生命周期內碼的高效管理。借助這一綜合解決方案提供的自動化,團隊可以自信地管理碼簽政策,並無縫上傳簽署過的腳本至 GitHub,為更強大和安全的軟體開發環境做出貢獻。
想了解更多有關 AVX ONE 碼簽的資訊,請立即請求演示。
關於作者
Tivya Venkatachalam
資深自動化工程師 | 進階 POC
將創意變為現實,專注於自動化、網路安全和無縫整合的創新 POC
更多來自作者的文章 →
本文由 AI 台灣 運用 AI 技術編撰,內容僅供參考,請自行核實相關資訊。
歡迎加入我們的 AI TAIWAN 台灣人工智慧中心 FB 社團,
隨時掌握最新 AI 動態與實用資訊!
