bg-blog-articles

কোড সাইনিং সর্বোত্তম অনুশীলন: সফ্টওয়্যার ডেভেলপারদের জন্য প্রয়োজনীয় সুরক্ষা নির্দেশিকা

কোড সাইনিং আপনার সফ্টওয়্যারের ডিজিটাল পাসপোর্ট হিসাবে পরিবেশন করার জন্য পাবলিক কী ইনফ্রাস্ট্রাকচার (পিকেআই) ব্যবহার করে। ডিজিটাল স্বাক্ষরের মাধ্যমে, এটি সত্যতা এবং সততার ক্রিপ্টোগ্রাফিক প্রমাণ তৈরি করে। এটি আপনাকে প্রকাশক হিসাবে প্রমাণিত করে এবং আপনি এটি প্রকাশ করার পর থেকে আপনার কোডটি টেম্পারিং করা হয়নি তা প্রমাণ করে কোডের অখণ্ডতা নিশ্চিত করে।

Code Signing Best Practices

ব্যবহারকারীরা যখন আপনার সফ্টওয়্যারটি ডাউনলোড করে, তখন তারা তাদের সিস্টেম সুরক্ষার সাথে আপনাকে বিশ্বাস করে। একবার সেই বিশ্বাস ভেঙে ফেলুন, এবং আপনার কাজ শেষ হয়ে গেছে।


সুচিপত্র

  1. হার্ডওয়্যার সিকিউরিটি মডিউল দিয়ে ব্যক্তিগত কীগুলি সুরক্ষিত করুন
  2. কোড সাইনিং কীগুলির জন্য কঠোর অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগ করুন
  3. স্বাক্ষর প্রক্রিয়া চলাকালীন আপনার কোডটি টাইম-স্ট্যাম্প করুন
  4. রিলিজ-সাইনিং পরিবেশ থেকে পৃথক পরীক্ষা-স্বাক্ষর
  5. স্বাক্ষর করার আগে কোড প্রমাণীকরণ এবং অখণ্ডতা যাচাইকরণ প্রয়োগ করুন
  6. স্বাক্ষর করার আগে কোডে ভাইরাস স্ক্যানিং সম্পাদন করুন
  7. কীগুলি ঘোরান এবং একাধিক শংসাপত্র ব্যবহার করুন
  8. সার্টিফিকেট প্রত্যাহারকে গুরুত্ব সহকারে নিন
  9. বর্ধিত বৈধতা কোড সাইনিং সার্টিফিকেটগুলি লিভারেজ করুন
  10. কোড সাইনিং ম্যানেজমেন্ট স্বয়ংক্রিয় এবং কেন্দ্রীভূত করুন
  11. এসএসএল ড্রাগন দিয়ে আপনার সফ্টওয়্যার সাপ্লাই চেইন সুরক্ষিত করুন

সোলারউইন্ডস লঙ্ঘন সমালোচনামূলক সফ্টওয়্যার সাপ্লাই চেইনের দুর্বলতা প্রকাশ করার পরে স্টেকগুলি বাস্তব হয়ে ওঠে, যা দেখায় যে কীভাবে আপোস করা সাইনিং কীগুলি বৈধ সফ্টওয়্যার আপডেটগুলিকে অস্ত্র করতে পারে এবং হাজার হাজার সংস্থাকে আপস করতে পারে। এখন আগের চেয়ে বেশি, কোড সাইনিং সর্বোত্তম অনুশীলনগুলি অনুসরণ করা ঐচ্ছিক নয় – এটি আপনার ব্যবহারকারীদের এবং আপনার খ্যাতি রক্ষার জন্য মৌলিক।

সফ্টওয়্যার সাপ্লাই চেইন রক্ষা করা সমস্ত আকারের সংস্থাগুলির জন্য একটি শীর্ষ অগ্রাধিকার হয়ে উঠেছে। এই নির্দেশিকাগুলি আপনাকে গুরুত্বপূর্ণ সুরক্ষা ব্যবস্থাগুলি বাস্তবায়ন করতে সহায়তা করবে, আপনি একক বিকাশকারী হন বা এন্টারপ্রাইজ ডেভওপস পাইপলাইনগুলি পরিচালনা করুন। আপনি আইওএস এবং অ্যান্ড্রয়েডের জন্য উইন্ডোজ এক্সিকিউটেবলস, ম্যাকোস অ্যাপ্লিকেশন, লিনাক্স প্যাকেজ বা মোবাইল অ্যাপ্লিকেশনগুলিতে স্বাক্ষর করছেন কিনা, এই নীতিগুলি সমস্ত প্ল্যাটফর্মে প্রযোজ্য।

হার্ডওয়্যার সিকিউরিটি মডিউল দিয়ে ব্যক্তিগত কীগুলি সুরক্ষিত করুন

আপনার ব্যক্তিগত কী কোড স্বাক্ষরের সবকিছু। এটি আপস করুন এবং আক্রমণকারীরা আপনার পরিচয় দিয়ে ম্যালওয়্যার সাইন ইন করতে পারে। আপনার শংসাপত্রটি প্রত্যাহার করা হয়, আপনার গ্রাহকরা আস্থা হারিয়ে ফেলেন এবং আপনার ব্র্যান্ডটি এমন একটি আঘাত নেয় যা আপনি পুনরুদ্ধার করতে পারবেন না।

প্রাইভেট কী সিকিউরিটি কেন গুরুত্বপূর্ণ

আপনার ব্যক্তিগত কীটিকে আপনার সফ্টওয়্যারের বিশ্বাসযোগ্যতার মাস্টার কী হিসাবে ভাবুন – এটি আপনার পরিচয় প্রমাণ করে এমন ডিজিটাল স্বাক্ষর তৈরি করে। যদি কেউ এটি চুরি করে তবে তারা ক্ষতিকারক কোড বিতরণ করতে পারে যা দেখে মনে হয় এটি আপনার কাছ থেকে এসেছে। আপনাকে আপনার শংসাপত্রটি প্রত্যাহার করতে হবে, আপনি যা কিছু প্রকাশ করেছেন তা পুনরায় স্বাক্ষর করতে হবে এবং আশা করি আপনার গ্রাহকরা সংক্রামিত সফ্টওয়্যার ইনস্টল করার আগে পার্থক্যটি লক্ষ্য করবেন।

হার্ড ড্রাইভে কীগুলি সংরক্ষণ করা বা সার্ভার তৈরি করার প্রথাগত পদ্ধতিটি সমস্যার জন্য জিজ্ঞাসা করছে। ডেভেলপার মেশিনগুলি আপোস করা হয়। বিল্ড সার্ভার লঙ্ঘন করা হয়। এমনকি নিয়মিত হার্ডওয়্যারে এনক্রিপ্ট করা স্টোরেজ কীগুলিকে নিষ্কাশনের জন্য ঝুঁকিপূর্ণ করে তোলে।

FIPS 140-2 সার্টিফাইড হার্ডওয়্যার সমাধান

হার্ডওয়্যার সিকিউরিটি মডিউল (এইচএসএম) টেম্পার-প্রতিরোধী হার্ডওয়্যারে ব্যক্তিগত কীগুলি সংরক্ষণ করে এই সমস্যাটি সমাধান করে। আপনার পিকেআই অবকাঠামোর ভিত্তি হিসাবে, এইচএসএমগুলি সার্টিফিকেট-ভিত্তিক ট্রাস্টের জন্য প্রয়োজনীয় সুরক্ষা ভিত্তি সরবরাহ করে। এই ডিভাইসগুলি আপনার সিস্টেমে প্রকাশ না করে অভ্যন্তরীণভাবে কীগুলি তৈরি করে এবং ব্যবহার করে। একটি এইচএসএমের সাথে শারীরিকভাবে হস্তক্ষেপ করার চেষ্টা করুন এবং এটি কীগুলি ধ্বংস করে।

এফআইপিএস 140-2 সার্টিফিকেশন এখানে গুরুত্বপূর্ণ। লেভেল 2 এর জন্য শারীরিক টেম্পার-প্রমাণ প্রয়োজন, যখন লেভেল 3 সক্রিয় টেম্পার-প্রতিক্রিয়া যুক্ত করে যা কেউ ভেতরে প্রবেশ করার চেষ্টা করলে কীগুলি শূন্য করে। বেশিরভাগ সংস্থার জন্য, স্তর 2 শক্ত সুরক্ষা সরবরাহ করে। এই হার্ডওয়্যার সমাধানগুলি উইন্ডোজ, ম্যাকোস এবং লিনাক্স ডেভেলপমেন্ট এনভায়রনমেন্টের সাথে নির্বিঘ্নে সংহত করে, আপনার বিল্ড প্ল্যাটফর্ম নির্বিশেষে আপনার কীগুলি রক্ষা করে। সরকারী এবং উচ্চ-সুরক্ষা অ্যাপ্লিকেশনগুলি স্তর 3 বিবেচনা করা উচিত।

ইউএসবি টোকেনগুলি একটি পোর্টেবল এইচএসএম বিকল্প সরবরাহ করে। এগুলি এফআইপিএস-প্রত্যয়িত ক্রিপ্টোগ্রাফিক হার্ডওয়্যার যা আপনি আপনার সাথে বহন করতে পারেন, দখলের মাধ্যমে শারীরিক সুরক্ষা যুক্ত করতে পারেন। প্রধান সার্টিফিকেট কর্তৃপক্ষ কোড সাইনিং সার্টিফিকেটের জন্য এইচএসএম এবং ইউএসবি টোকেন বাস্তবায়ন উভয়ই সমর্থন করে।

However, CA policies differ, and you need to plan around them. DigiCert and GoGetSSL issue code signing certificates for 1 year only, and you can use either a CA-provided HSM or your own hardware.

সেকটিগো (কমোডো) 3 বছর পর্যন্ত বহু-বছরের শংসাপত্র সরবরাহ করে, তবে কঠোর নিয়ম সহ। আপনি যদি 2- বা 3 বছরের শংসাপত্র চয়ন করেন তবে আপনাকে অবশ্যই আপনার নিজের এইচএসএম ব্যবহার করতে হবে। CA-প্রদত্ত হার্ডওয়্যার কেবলমাত্র 1 বছরের অর্ডারের জন্য উপলব্ধ।

কোড স্বাক্ষর করতে চান? আপনার টোকেন দরকার। কোনও টোকেন নেই, কোনও স্বাক্ষর নেই – এমনকি যদি কেউ আপনার পুরো নেটওয়ার্কের সাথে আপস করে।

ডেটা সিকিউরিটি শ্রেণিবিন্যাস

কোড সাইনিং কীগুলির জন্য কঠোর অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগ করুন

আপনার দলের প্রত্যেকেরই উত্পাদন সাইনিং কীগুলিতে অ্যাক্সেসের প্রয়োজন হয় না। আসলে, বেশিরভাগ লোকের এটি থাকা উচিত নয়।

নীতিটি সহজ: অ্যাক্সেস সহ কম লোকের অর্থ কম আক্রমণ ভেক্টর। ভূমিকা-ভিত্তিক অ্যাক্সেস কন্ট্রোল (আরবিএসি) সেট আপ করুন যা নির্দিষ্ট ভূমিকায় স্বাক্ষরের অনুমতিকে সীমাবদ্ধ করে। আপনার QA দলের প্রোডাকশন সাইনিং অ্যাক্সেসের প্রয়োজন নেই। আপনার জুনিয়র ডেভেলপাররাও সম্ভবত তা করেন না।

অনুমোদন ওয়ার্কফ্লো তৈরি করুন যা উত্পাদন রিলিজের জন্য একাধিক সাইন-অফের প্রয়োজন হয়। একজন ব্যক্তি স্বাক্ষরের জন্য কোড জমা দেয়, অন্যজন এটি অনুমোদন করে, এবং কেবল তখনই প্রকৃত স্বাক্ষর ঘটে। কর্তব্যের এই পৃথকীকরণ ভুলগুলি ধরতে পারে এবং অভ্যন্তরীণ হুমকি প্রতিরোধ করে।

বিস্তৃত অডিট লগ রাখুন। কে কী স্বাক্ষর করেছে, কখন তারা স্বাক্ষর করেছে এবং কোন সিস্টেম থেকে স্বাক্ষর করেছে তা রেকর্ড করুন। সিএ নিরাপত্তা পরিষদের কোড সাইনিং বেস্ট প্র্যাকটিসেস হোয়াইটপেপার জোর দেয় যে ঘটনার প্রতিক্রিয়া এবং ফরেনসিক তদন্তের জন্য বিশদ লগিং অপরিহার্য। যখন কিছু ভুল হয়ে যায় – এবং শেষ পর্যন্ত কিছু সর্বদা ঘটে – আপনাকে ঠিক কী ঘটেছিল তা জানতে হবে।

শারীরিক নিরাপত্তার বিষয়গুলিও:

  • ইউএসবি টোকেনগুলি ডেস্কে বসে রাখবেন না।
  • সরল পাঠ্য ফাইলগুলিতে HSM অ্যাক্সেস শংসাপত্রগুলি সঞ্চয় করবেন না।
  • স্টিকি নোটগুলিতে PIN কোড লিখবেন না।

এগুলি সুস্পষ্ট শোনাচ্ছে, তবে এগুলি সাধারণ সমস্যা যা অন্যথায় শক্ত সুরক্ষাকে দুর্বল করে।


স্বাক্ষর প্রক্রিয়া চলাকালীন আপনার কোডটি টাইম-স্ট্যাম্প করুন

এখানে একটি সমস্যা রয়েছে: কোড সাইনিং সার্টিফিকেটগুলির মেয়াদ শেষ হয়, সাধারণত এক থেকে তিন বছর পরে। টাইম-স্ট্যাম্পিং ছাড়াই, আপনার শংসাপত্রের মেয়াদ শেষ হলে আপনার স্বাক্ষর অবৈধ হয়ে যায়। ব্যবহারকারীরা অবিশ্বস্ত সফ্টওয়্যার সম্পর্কে সতর্কতা বার্তা দেখতে শুরু করে, যদিও আপনার কোড সম্পর্কে কিছুই পরিবর্তন হয়নি।

টাইম-স্ট্যাম্পিং স্বাক্ষর প্রক্রিয়া চলাকালীন একটি সার্টিফিকেট কর্তৃপক্ষের টাইম-স্ট্যাম্প সার্ভার থেকে একটি বিশ্বস্ত টাইমস্ট্যাম্প যুক্ত করে এটি ঠিক করে। এই টাইমস্ট্যাম্পটি প্রমাণ করে যে আপনার শংসাপত্রটি এখনও বৈধ থাকাকালীন আপনি কোডটিতে স্বাক্ষর করেছেন। আপনার শংসাপত্রের মেয়াদ শেষ হওয়ার পরেও বা প্রত্যাহার করার পরেও স্বাক্ষরটি বিশ্বস্ত থাকে।

এটিকে একটি তারিখ সহ নোটারি স্ট্যাম্প হিসাবে ভাবুন। নোটারি অবসর নিতে পারেন বা দোকান বন্ধ করতে পারেন, তবে 2020 সাল থেকে আপনার নথিতে তাদের স্ট্যাম্প এখনও প্রমাণ করে যে নথিটি বিদ্যমান ছিল এবং 2020 সালে যাচাই করা হয়েছিল।

প্রযুক্তিগত প্রক্রিয়াটি সহজবোধ্য। স্বাক্ষর করার সময়, আপনার সরঞ্জামটি আপনার শংসাপত্র কর্তৃপক্ষ দ্বারা পরিচালিত একটি টাইম-স্ট্যাম্প সার্ভারের সাথে যোগাযোগ করে। সার্ভারটি একটি স্বাক্ষরিত টাইমস্ট্যাম্প ফেরত দেয় যা আপনার কোডের স্বাক্ষরে এম্বেড করা হয়। ব্যবহারকারীরা যখন কোনও প্ল্যাটফর্মে আপনার স্বাক্ষর যাচাই করেন – উইন্ডোজ, ম্যাকোস, লিনাক্স, আইওএস বা অ্যান্ড্রয়েড – তারা আপনার স্বাক্ষর শংসাপত্র এবং টাইমস্ট্যাম্প উভয়ই পরীক্ষা করে। এই যাচাইকরণ প্রক্রিয়াটি সময়ের সাথে সাথে কোডের অখণ্ডতা বজায় রাখে, এমনকি শংসাপত্রের মেয়াদ শেষ হয়ে যায় এবং সুরক্ষা মানগুলি বিকশিত হয়।

এতে অর্থও সাশ্রয় হয়। টাইম-স্ট্যাম্পিং ছাড়াই, আপনি প্রতিবার আপনার শংসাপত্রটি পুনর্নবীকরণ করার সময় আপনার সমস্ত বিতরণ করা সফ্টওয়্যারটি পুনরায় স্বাক্ষর করতে হবে। টাইম-স্ট্যাম্পিংয়ের সাথে, পুরানো রিলিজগুলি অনির্দিষ্টকালের জন্য বিশ্বাসযোগ্য থাকে।


আজ এসএসএল ড্রাগন থেকে অর্ডার করার সময় এসএসএল সার্টিফিকেটগুলিতে 10% সংরক্ষণ করুন!

দ্রুত ইস্যু, শক্তিশালী এনক্রিপশন, 99.99% ব্রাউজার বিশ্বাস, ডেডিকেটেড সমর্থন এবং 25 দিনের মানি-ব্যাক গ্যারান্টি। কুপন কোড: Save10

উড়ন্ত একটি ড্রাগনের একটি বিস্তারিত চিত্র

রিলিজ-সাইনিং পরিবেশ থেকে পৃথক পরীক্ষা-স্বাক্ষর

আপনার পরীক্ষার পরিবেশে উত্পাদনের মতো একই সাইনিং কীগুলি ব্যবহার করা উচিত নয়। কখনও।

পরীক্ষার শংসাপত্রগুলি স্ব-স্বাক্ষরিত হওয়া উচিত বা একটি অভ্যন্তরীণ পরীক্ষা শংসাপত্র কর্তৃপক্ষ দ্বারা জারি করা উচিত যা আপনার উত্পাদন শংসাপত্রের চেয়ে আলাদা রুটে চেইন করে। এই স্থাপত্য পৃথকীকরণ পরীক্ষা-স্বাক্ষরিত কোডটিকে রিলিজ-রেডি সফ্টওয়্যার হিসাবে ভুল করা থেকে বিরত রাখে।

প্রতিটি পরিবেশের জন্য আলাদা স্বাক্ষর অবকাঠামো স্থাপন করুন। আপনার পরীক্ষার স্বাক্ষর আরও অ্যাক্সেসযোগ্য এবং কম সীমাবদ্ধ হতে পারে – বিকাশকারীদের দ্রুত পুনরাবৃত্তি করতে হবে। তবে আমরা যে সমস্ত সুরক্ষা ব্যবস্থা নিয়ে আলোচনা করেছি তার সাথে প্রোডাকশন সাইনিং শক্তভাবে লক করা উচিত।

পরীক্ষার প্যাকেজগুলি পরিষ্কারভাবে চিহ্নিত করুন। ফাইলের নামগুলিতে “টেস্ট” বা “বিটা” অন্তর্ভুক্ত করুন। বিভিন্ন পণ্য সনাক্তকারী ব্যবহার করুন। দুর্ঘটনাক্রমে গ্রাহকদের কাছে পরীক্ষা-স্বাক্ষরিত কোড বিতরণ করা অসম্ভব করে তুলুন।

অ্যাক্সেস নিয়ন্ত্রণগুলিও নাটকীয়ভাবে আলাদা হওয়া উচিত। ডেভেলপারদের পরীক্ষায় স্বাক্ষর করার জন্য সরাসরি অ্যাক্সেস থাকতে পারে। উত্পাদন স্বাক্ষরের জন্য অনুমোদনের ওয়ার্কফ্লো এবং সম্ভবত সম্পূর্ণরূপে বিভিন্ন শংসাপত্রের প্রয়োজন হওয়া উচিত।

টেস্ট বনাম প্রোডাকশন এনভায়রনমেন্ট

স্বাক্ষর করার আগে কোড প্রমাণীকরণ এবং অখণ্ডতা যাচাইকরণ প্রয়োগ করুন

কোড সাইনিং কোড প্রমাণীকরণ সরবরাহ করে – কে সফ্টওয়্যারটি প্রকাশ করেছে তা নিশ্চিত করে। এটি নিশ্চিত করে না যে সফ্টওয়্যারটি নিরাপদ।

এই পার্থক্যটি গুরুত্বপূর্ণ কারণ আপনি যে সমস্ত স্বাক্ষর করেন তার জন্য আপনি চূড়ান্তভাবে দায়ী, এমনকি যদি আপনি এটি সমস্ত না লিখেন। আপনি যাচাই করেননি এমন কোডটি স্বাক্ষর করা ঋণগ্রহীতার আর্থিক অবস্থা পরীক্ষা না করে ঋণে সহ-স্বাক্ষর করার মতো।

কোনও কিছু স্বাক্ষরিত হওয়ার আগে জমা দেওয়া এবং অনুমোদনের প্রক্রিয়াগুলি বাস্তবায়ন করুন। কী স্বাক্ষর করা হচ্ছে তা কাউকে পর্যালোচনা করুন। আপনার সোর্স কোড সংগ্রহস্থলের সাথে আপনার বিল্ড সার্ভারের কোডটি তুলনা করুন। নিশ্চিত হয়ে নিন যে তারা ঠিক মিলছে।

সোলারউইন্ডস লঙ্ঘন আমাদের শিখিয়েছে যে আক্রমণকারীরা বিল্ড পাইপলাইনগুলিতে ক্ষতিকারক কোড ইনজেক্ট করতে পারে। এই আক্রমণটি সফ্টওয়্যার সাপ্লাই চেইন সুরক্ষার গুরুত্ব তুলে ধরেছে – প্রতিটি উপাদান, নির্ভরতা এবং বিল্ড পদক্ষেপটি একটি সম্ভাব্য আক্রমণ ভেক্টরের প্রতিনিধিত্ব করে। আপনি যদি যাচাই না করে সাইন ইন করেন তবে আপনি আপনার অবকাঠামোর প্রতিটি অংশ এবং বাহ্যিক উত্স থেকে কোডের প্রতিটি অংশকে বিশ্বাস করছেন। এটি এমন কোনও বাজি নয় যা আপনি করতে চান।

যেখানে সম্ভব সেখানে স্বয়ংক্রিয় চেক সেট আপ করুন। বিকাশকারীরা আপনার সংগ্রহস্থলে চেক করে এমন কোডে ডিজিটাল স্বাক্ষরগুলি যাচাই করুন। স্ট্যাটিক বিশ্লেষণ সরঞ্জামগুলি চালান। অনুমোদিত বিল্ডগুলির চেকসাম তৈরি করুন এবং স্বাক্ষর করার আগে সেগুলি যাচাই করুন।

সবকিছু লগ করুন। যখন কেউ স্বাক্ষরের জন্য কোড জমা দেয়, তখন কী জমা দেওয়া হয়েছিল, কে এটি জমা দিয়েছিল, কে এটি অনুমোদন করেছিল এবং কী স্বাক্ষরিত হয়েছিল তা রেকর্ড করুন। ঘটনাগুলি তদন্ত করার সময় এই অডিট ট্রেইলগুলি গুরুত্বপূর্ণ হয়ে ওঠে।


স্বাক্ষর করার আগে কোডে ভাইরাস স্ক্যানিং সম্পাদন করুন

কোড সাইনিং প্রমাণ করে যে আপনি সফ্টওয়্যারটি প্রকাশ করেছেন। ব্যবহারকারীরা আপনাকে ম্যালওয়্যার প্রকাশ না করার জন্য বিশ্বাস করে, তবে কোড সাইনিং সার্টিফিকেটগুলি সুরক্ষা যাচাই করে না।

আপনি যখন বাহ্যিক উত্স থেকে কোড অন্তর্ভুক্ত করেন তখন এটি গুরুত্বপূর্ণ – ওপেন সোর্স লাইব্রেরি, তৃতীয় পক্ষের উপাদান, ঠিকাদারের অবদান। আপনি আপনার নামে সবই স্বাক্ষর করছেন।

স্বাক্ষর করার আগে সবকিছু স্ক্যান করুন। সম্ভব হলে একাধিক এন্টিভাইরাস ইঞ্জিন ব্যবহার করুন। পরিচিত ম্যালওয়্যার স্বাক্ষর, সন্দেহজনক নিদর্শন এবং সম্ভাব্য দুর্বলতাগুলি পরীক্ষা করুন। আপনি আইওএস এবং অ্যান্ড্রয়েডের জন্য উইন্ডোজ এক্সিকিউটেবলস, ম্যাকোস অ্যাপ্লিকেশন, লিনাক্স প্যাকেজ বা মোবাইল অ্যাপ্লিকেশন প্রস্তুত করছেন কিনা তা প্রযোজ্য।

সাইন ইন করার আগে অনিচ্ছাকৃতভাবে ক্ষতিকারক সন্নিবেশ করা আপনার ব্যবহারকারীদের এবং আপনার খ্যাতি রক্ষা করে। আপনি স্বাক্ষরিত ম্যালওয়্যার বিতরণ করার পরে এটি সন্ধান করার অর্থ শংসাপত্র প্রত্যাহার, গ্রাহক বিজ্ঞপ্তি এবং ক্ষতি নিয়ন্ত্রণ।

স্ক্যানিং আপনার বিল্ড প্রক্রিয়াটিতে ন্যূনতম সময় যুক্ত করে তবে কোডের অখণ্ডতা এবং সত্যতার জন্য প্রয়োজনীয় সুরক্ষা সরবরাহ করে। এটি বাধ্যতামূলক করুন, ঐচ্ছিক নয়।


কীগুলি ঘোরান এবং একাধিক শংসাপত্র ব্যবহার করুন

সব পুঁজিকে একজায়গায় না রাখা। সবকিছুর জন্য একক কোড সাইনিং সার্টিফিকেট ব্যবহার করা ব্যর্থতার একটি একক পয়েন্ট তৈরি করে।

বিভিন্ন পণ্য লাইন বা বড় রিলিজের জন্য বিভিন্ন শংসাপত্র ব্যবহার করার বিষয়টি বিবেচনা করুন। আপনি যদি একটি শংসাপত্র কীভাবে পরিচালনা করা হয়েছিল তাতে কোনও সুরক্ষা ত্রুটি আবিষ্কার করেন তবে আপনাকে কেবল সেই নির্দিষ্ট শংসাপত্রটি প্রত্যাহার করতে হবে। আপনার অন্যান্য পণ্যগুলি বিশ্বাসযোগ্য থাকবে।

ঘূর্ণায়মান কীগুলি নিয়মিতভাবে এক্সপোজারকে সীমাবদ্ধ করে। যদি কেউ ছয় মাস আগে আপনার কীটির সাথে আপস করে থাকে তবে আপনি তখন থেকে একটি নতুন শংসাপত্রে ঘুরিয়ে থাকেন তবে তারা আপনার মতো বর্তমান কোডে স্বাক্ষর করতে পারবেন না। ক্ষতিটি পুরানো রিলিজগুলিতে সীমাবদ্ধ।

কিছু সংস্থা বিভিন্ন DevOps দলকে অনন্য শংসাপত্র বরাদ্দ করে বা শাখা প্রকাশ করে। এটি ঝুঁকি বিতরণ করে এবং আপস তদন্তকে আরও সহজ করে তোলে। যখন কিছু ভুল হয়ে যায়, আপনি জানেন যে কোন শংসাপত্রটি জড়িত ছিল এবং কোন রিলিজগুলি প্রভাবিত হয়।

একটি ঘূর্ণন সময়সূচী সেট আপ করুন যা অপারেশনাল ওভারহেডের সাথে সুরক্ষার ভারসাম্য বজায় রাখে। বার্ষিক বা দ্বিবার্ষিক ঘূর্ণন অনেক প্রতিষ্ঠানের জন্য কাজ করে। উচ্চ-সুরক্ষা পরিবেশ ত্রৈমাসিক ঘোরতে পারে।


সার্টিফিকেট প্রত্যাহারকে গুরুত্ব সহকারে নিন

সার্টিফিকেট প্রত্যাহার পারমাণবিক বিকল্প, তবে কখনও কখনও এটি প্রয়োজনীয়।

আপনার ব্যক্তিগত কীটি আপোস করা হলে অবিলম্বে প্রত্যাহার করুন। ক্ষয়ক্ষতির মূল্যায়নের জন্য অপেক্ষা করবেন না। আশা করবেন না কেউ খেয়াল করবে না। প্রত্যাহার করুন, আপনার শংসাপত্র কর্তৃপক্ষকে অবহিত করুন এবং ধারণ শুরু করুন।

প্রত্যাহার সেই শংসাপত্রের সাথে স্বাক্ষরিত সমস্ত কোডকে প্রভাবিত করে। ব্যবহারকারীরা সতর্কবার্তা দেখতে পাবেন। স্বয়ংক্রিয় সিস্টেমগুলি ইনস্টলেশন অবরুদ্ধ করতে পারে। এই কারণেই টাইম-স্ট্যাম্পিং গুরুত্বপূর্ণ – এটি টাইমস্ট্যাম্পের পরে স্বাক্ষরিত কোডের ক্ষতিকে সীমাবদ্ধ করে তবে প্রত্যাহারের আগে।

আপনার PKI অবকাঠামোর মধ্যে আপনার শংসাপত্রগুলি সাবধানে ট্র্যাক করুন। তারা কোথায় আছে, কার অ্যাক্সেস রয়েছে, কখন তাদের মেয়াদ শেষ হবে এবং তারা কোন কোডে স্বাক্ষর করেছে তা জানুন। আপনি স্কেল আপ করার সাথে সাথে সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্ট গুরুত্বপূর্ণ হয়ে ওঠে।

আপনার শংসাপত্র কর্তৃপক্ষের কাছে তাদের পদ্ধতি অনুসারে আপস রিপোর্ট করুন। তারা প্রত্যাহারে সহায়তা করবে এবং বিজ্ঞপ্তির প্রয়োজনীয়তা সম্পর্কে গাইডেন্স থাকতে পারে।

আপনার প্রয়োজনের আগে প্রত্যাহারের পরিকল্পনা থাকা প্রক্রিয়াটিকে কম বিশৃঙ্খল করে তোলে। পদক্ষেপগুলি নথিভুক্ত করুন, দায়িত্ব অর্পণ করুন এবং পদ্ধতিটি অনুশীলন করুন।


বর্ধিত বৈধতা কোড সাইনিং সার্টিফিকেটগুলি লিভারেজ করুন

এক্সটেন্ডেড ভ্যালিডেশন (ইভি) কোড সাইনিং সার্টিফিকেটগুলি হ’ল এক্স .509 ডিজিটাল সার্টিফিকেট যা স্ট্যান্ডার্ড সার্টিফিকেটের চেয়ে উচ্চতর নিশ্চয়তা সরবরাহ করে। সার্টিফিকেট কর্তৃপক্ষ তাদের ইস্যু করার আগে আরও কঠোর পরিচয় যাচাইকরণ সম্পাদন করে।

ইভি শংসাপত্রের জন্য হার্ডওয়্যার স্টোরেজ প্রয়োজন যা এফআইপিএস 140-2 লেভেল 2 বা উচ্চতর মান পূরণ করে। আপনি কোনও ইভি শংসাপত্র পেতে পারবেন না এবং এটি আপনার হার্ড ড্রাইভে সংরক্ষণ করতে পারবেন না। এই বাধ্যতামূলক হার্ডওয়্যার সুরক্ষা কী আপস ঝুঁকি হ্রাস করে।

বেশিরভাগ ইভি সার্টিফিকেট পিন সুরক্ষা সহ ইউএসবি টোকেনে আসে। কোড স্বাক্ষর করার জন্য আপনার শারীরিক টোকেন এবং পিন উভয়ই প্রয়োজন। এই দ্বি-ফ্যাক্টর পদ্ধতিটি অননুমোদিত স্বাক্ষরকে আরও কঠিন করে তোলে।

জর্জিয়া টেকের সাইবার ফরেনসিক ইনোভেশন ল্যাবের গবেষণায় দেখা গেছে যে ইভি-স্বাক্ষরিত এক্সিকিউটেবলগুলি পরীক্ষা করা ফিশিং আক্রমণের 99.99% প্রতিরোধ করেছে, স্ট্যান্ডার্ড স্বাক্ষরের জন্য 90% এর তুলনায়। উইন্ডোজ, ম্যাকোস সহ অপারেটিং সিস্টেমগুলি এবং আইওএস এবং অ্যান্ড্রয়েডের মতো মোবাইল প্ল্যাটফর্মগুলি ইভি স্বাক্ষরগুলি স্বীকৃতি দেয় এবং ব্যবহারকারীদের কাছে উন্নত আস্থা সূচক প্রদর্শন করে। বর্ধিত আস্থা সূচক এবং কঠোর যাচাই একটি পরিমাপযোগ্য পার্থক্য তৈরি করে।

আপনার যখন সর্বাধিক বিশ্বাসের প্রয়োজন হয় তখন ইভি শংসাপত্রগুলি চয়ন করুন – ফ্ল্যাগশিপ পণ্য, ব্যাপকভাবে বিতরণ করা সফ্টওয়্যার বা সংবেদনশীল ডেটা পরিচালনা করা অ্যাপ্লিকেশনগুলি। অতিরিক্ত ব্যয় এবং ব্যবস্থাপনা ওভারহেড বর্ধিত বিশ্বাসযোগ্যতা এবং সুরক্ষায় অর্থ প্রদান করে।


কোড সাইনিং ম্যানেজমেন্ট স্বয়ংক্রিয় এবং কেন্দ্রীভূত করুন

ম্যানুয়াল সার্টিফিকেট ম্যানেজমেন্ট ডেভওপস পরিবেশে স্কেল করে না যেখানে একাধিক দল ক্রমাগত কোড প্রেরণ করে।

সার্টিফিকেট লাইফসাইকেল ম্যানেজমেন্ট (সিএলএম) সমাধানগুলি সিআই / সিডি পাইপলাইনগুলির সাথে সংহত করার সময় নিয়ন্ত্রণকে কেন্দ্রীভূত করে। সেকটিগো সার্টিফিকেট ম্যানেজার এবং অ্যাপভিউএক্স সিইআরটি + এর মতো প্ল্যাটফর্মগুলি কোড সাইনিং ওয়ার্কফ্লোগুলির জন্য বিশেষভাবে ডিজাইন করা এন্টারপ্রাইজ-গ্রেড সিএলএম ক্ষমতা সরবরাহ করে। ডেভেলপাররা সরাসরি কী অ্যাক্সেস ছাড়াই ডিজিটাল স্বাক্ষর তৈরি করতে স্ব-পরিষেবা অ্যাক্সেস পান। সুরক্ষা দলগুলি দৃশ্যমানতা বজায় রাখে এবং সমস্ত স্বাক্ষর কার্যক্রম জুড়ে নীতিমালা প্রয়োগ করে।

এই প্ল্যাটফর্মগুলি শংসাপত্রের তালিকা, মেয়াদ শেষ হওয়ার তারিখ এবং ব্যবহারের নিদর্শনগুলি ট্র্যাক করে। সফ্টওয়্যার সাপ্লাই চেইন সুরক্ষার জন্য কেন্দ্রীভূত ব্যবস্থাপনা অপরিহার্য হয়ে ওঠে, বিশেষত যখন একাধিক দল এবং ঠিকাদাররা আপনার কোডবেসে অবদান রাখে। তারা পুনর্নবীকরণকে স্বয়ংক্রিয় করে তোলে এবং অডিটকে সহজ করে তোলে। কোন সার্টিফিকেটের সাথে কী স্বাক্ষরিত হয়েছে তা জানতে হলে তথ্য আছে।

বিল্ড সিস্টেমের সাথে সংহতকরণের অর্থ বিকাশকারীদের শংসাপত্রের বিবরণ সম্পর্কে চিন্তা করার দরকার নেই। তারা কোড জমা দেয়, পাইপলাইনটি উপযুক্ত শংসাপত্র ব্যবহার করে স্বয়ংক্রিয়ভাবে স্বাক্ষর পরিচালনা করে এবং স্বাক্ষরিত নিদর্শনটি অন্য প্রান্তে বেরিয়ে আসে।

প্রাক-সংজ্ঞায়িত ওয়ার্কফ্লো আপনার নিরাপত্তা নীতিগুলি প্রয়োগ করে। অনুমোদন ছাড়া কোড স্বাক্ষর করা যাবে না। পরীক্ষার শংসাপত্রগুলি উত্পাদনের জন্য ব্যবহার করা যাবে না। একটি ব্যবসায়িক ইউনিটের বিকাশকারীরা অন্য ইউনিটের সাইনিং কীগুলি অ্যাক্সেস করতে পারবেন না।

কেন্দ্রীকরণ বিকাশকারীদের জন্য জীবনকে আরও কঠিন না করে সুরক্ষাকে সহজ করে তোলে। এটি আপনার প্রয়োজনীয় ভারসাম্য – শক্তিশালী সুরক্ষা যা আপনার উন্নয়ন প্রক্রিয়ার সাথে কাজ করে, এর বিরুদ্ধে নয়।


এসএসএল ড্রাগন দিয়ে আপনার সফ্টওয়্যার সাপ্লাই চেইন সুরক্ষিত করুন

এসএসএল ড্রাগন ডিজিসার্ট এবং সেকটিগো সহ শীর্ষস্থানীয় সার্টিফিকেট কর্তৃপক্ষের কাছ থেকে কোড সাইনিং সার্টিফিকেট সরবরাহ করে। আপনার অভ্যন্তরীণ অ্যাপ্লিকেশনগুলির জন্য স্ট্যান্ডার্ড কোড সাইনিং বা ব্যাপকভাবে বিতরণ করা সফ্টওয়্যারের জন্য ইভি শংসাপত্রের প্রয়োজন কিনা, আমরা আপনাকে সঠিক সমাধান চয়ন করতে সহায়তা করব।

আমাদের দল সফ্টওয়্যার বিকাশকারীরা যে সুরক্ষা চ্যালেঞ্জগুলির মুখোমুখি হয় তা বোঝে। আপনার কোড সাইনিং অবকাঠামো শিল্পের সর্বোত্তম অনুশীলনগুলি অনুসরণ করে তা নিশ্চিত করার জন্য আমরা আপনাকে সার্টিফিকেট নির্বাচন, বাস্তবায়ন এবং পরিচালনার মাধ্যমে গাইড করতে পারি।

এসএসএল ড্রাগনের কোড সাইনিং সার্টিফিকেটগুলি অন্বেষণ করুন বা আপনার সফ্টওয়্যার বিকাশ এবং সুরক্ষা প্রয়োজনীয়তাগুলির সাথে কোন সমাধানটি সবচেয়ে উপযুক্ত তা নিয়ে আলোচনা করতে আমাদের দলের সাথে যোগাযোগ করুন । আপনার সফ্টওয়্যার সাপ্লাই চেইন রক্ষা করুন – আপনার ব্যবহারকারীরা এটির উপর নির্ভর করছেন।

আজ অর্ডার করার সময় SSL শংসাপত্রে 10% সংরক্ষণ করুন!

দ্রুত ইস্যু, শক্তিশালী এনক্রিপশন, 99.99% ব্রাউজার বিশ্বাস, নিবেদিত সমর্থন, এবং 25 দিনের অর্থ ফেরত গ্যারান্টি। কুপন কোড: SAVE10

উড়ন্ত একটি ড্রাগনের একটি বিস্তারিত চিত্র
লিখেছেন

SSL শংসাপত্রে বিশেষজ্ঞ অভিজ্ঞ বিষয়বস্তু লেখক। জটিল সাইবারসিকিউরিটি বিষয়গুলিকে পরিষ্কার, আকর্ষক সামগ্রীতে রূপান্তর করা। প্রভাবশালী বর্ণনার মাধ্যমে ডিজিটাল নিরাপত্তার উন্নতিতে অবদান রাখুন।