Pourquoi devrais-je signer mon code ?
Les clients qui vont installer le logiciel ont besoin d’assurance : ils veulent savoir qui est le développeur du logiciel et si le logiciel qu’ils installent est sécurisé ou non.
Le code de signature permet aux utilisateurs d’être complètement à l’aise lorsqu’ils utilisent votre logiciel en ligne.
Lorsque le certificat de signature de code expire ?
Les certificats de signature de code sont valables pour une durée de un à trois ans.
Existe-t-il une limite au nombre d’applications pouvant être signées avec un certificat de signature de code ?
Non. Vous pouvez signer toutes les applications dont vous avez besoin avec un certificat de signature de code, tant que l’application est distribuée par l’organisation pour laquelle le certificat a été émis.
Le principal défi est de sauvegarder la clé de signature privée liée au certificat de signature. Le certificat perd sa crédibilité si une clé est compromise, mettant en danger le programme que vous avez déjà signé.
Suivez ces bonnes pratiques de signature de code :
Réduisez l’accès aux clés privées.
Limitez le nombre de connexions aux ordinateurs qui ont des clés.
Limitez le nombre d’utilisateurs disposant d’un accès clé.
Afin de minimiser l’accès aux clés, utilisez des contrôles de sécurité physiques.
Code d’horodatage.
L’horodatage permet d’authentifier le code après la révocation du certificat.
Les certificats d’horodatage peuvent être accordés pour une période allant jusqu’à 11 ans.
Vérification du code.
La vérification du code est nécessaire avant de signer ou d’émettre un code.
Pour éviter la signature d’un code non autorisé ou nuisible, appliquez un processus de soumission et d’approbation de signature.
A des fins d’examen ou de réponse aux incidents, enregistrez toutes ses pratiques.
Code de scan antivirus avant de signer.
La signature du code ne garantit pas la protection du code ; il garantit à l’éditeur si le code a été mis à jour ou non.
Faites attention lorsque vous intégrez du code provenant d’autres sources.
Afin d’améliorer la qualité du code émis, appliquez une analyse antivirus
Connaître la distinction entre signature de test et signature de version.
Les clés privées et les certificats de signature de test impliquent moins de contrôles d’accès de sécurité que les clés privées et les certificats de signature de version.
Les certificats pour la signature de test peuvent être auto-signés ou émerger via un test CA interne.
Les certificats de test doivent être liés à un certificat racine complètement distinct du certificat racine utilisé pour signer les produits publiés ; cette mesure garantissait que les certificats de test ne sont approuvés que dans l’environnement de test prévu.
Afin de tester la signature des versions préliminaires du logiciel, configurez une infrastructure de signature de test distincte.
