코드 서명 서비스 솔루션
Entrust의 신뢰받는 코드 서명 솔루션인 Entrust Code Signing Gateway를 활용하여 대규모로 안전하고 자동화된 서명을 통해 소스 코드에 디지털 서명을 하고, 효율성을 높이고, 조직의 보안을 강화하십시오.
코드 서명 관리 및 승인 프로세스 자동화
많은 조직이 소프트웨어를 개발하며, 기업 등급의 제어된 코드 서명 관리 및 승인 프로세스를 필요로 합니다. Entrust Code Signing Gateway는 소프트웨어 개발 조직이 강력한 보안 요건을 충족하는 데 도움이 되는 유연한 중앙 집중식 워크플로 자동화 기능을 다양하게 제공합니다.
Entrust Data Protection Solutions 전문 서비스 팀이 제공하는 Code Signing Gateway는 Entrust 코드 서명 서비스 워크플로 애플리케이션을 실행하는 고객 호스팅 서버입니다. Code Signing Gateway:
- 승인 워크플로 관리
- 요청 수락
- 이메일을 통해 승인자에게 알리기
- 시간 초과 관리
- 승인 인정
- 활동 기록
- 서명된 코드를 스테이징 영역으로 전달
Code Signing Gateway는 기존의 웹 기반 포털 또는 RESTful API를 통해 액세스할 수 있으므로 자동화된 빌드 파이프라인 또는 고객 워크플로 엔진에 통합할 수 있습니다.
Code Signing Gateway는 다음과 같은 코드 유형의 서명을 지원합니다.
- Microsoft Windows-.exe, .dll, *.ocx, *.vbs, *.msi, *.html 및 Microsoft signtool이 지원하는 모든 유형
- Java - Java 아카이브(.jar) 및 .cab 파일
- 일반 해시 서명
Entrust nShield HSM 기반
Code Signing Gateway는 Entrust nShield® HSM(하드웨어 보안 모듈)을 신뢰할 수 있는 루트로 활용하여 FIPS 140-2 인증 HSM에서 모든 서명 키를 보호합니다. 이렇게 하면 코드의 진위성과 무결성에 대한 키인 중요한 서명 키의 잠재적 손실을 방지할 수 있습니다.
nShield HSM은 성능이 뛰어나고 안전하며 통합하기 쉬운 HSM 솔루션 중 하나입니다. 이는 규정 준수를 촉진하고, 데이터를 보호해야 하는 기업, 금융기관, 정부 및 기타 조직에 최고 수준의 데이터 및 애플리케이션 보안을 제공하여 코드 서명 솔루션을 지원합니다.
Entrust Code Signing Gateway의 이점
코드 서명 워크플로 자동화
유연하고 중앙 집중화된 워크플로 자동화 기능은 효율성과 보안을 향상합니다.
강력한 보안 요건 충족
FIPS 140-2 인증 nShield HSM의 모든 서명 키를 보호합니다.
쉬운 액세스 및 통합
자동화된 코드 서명 프로세스 또는 고객 워크플로 엔진에 쉽게 통합할 수 있도록 웹 기반 포털 또는 RESTful API를 통해 액세스합니다.
FAQ
코드 서명이란 무엇입니까?
코드 서명은 디지털 서명을 사용하여 소프트웨어 또는 소스 코드에 디지털 방식으로 서명하여 코드의 진위성과 무결성을 확인하는 프로세스입니다. 이를 통해 해당 코드가 검증된 소프트웨어 게시자 또는 개발자로부터 제공되었으며 서명된 이후 변경되거나 손상되지 않았는지 여부를 확인할 수 있습니다. 이 프로세스는 안전한 개발 환경 전반에서 사용되는 최신 코드 서명 솔루션의 핵심입니다.
코드 서명이 중요한 이유는 무엇입니까?
코드 서명은 소프트웨어 배포에서 신뢰와 보안을 유지하는 데 중요합니다. 주요 이점은 다음과 같습니다.
- 코드 무결성 보장: 코드 서명은 코드의 변조 여부를 확인하여 전체 배포 프로세스에서 코드의 무결성을 보장합니다.
- 게시자 인증: 디지털 인증서를 사용하여 소프트웨어의 출처를 확인하고 소프트웨어 게시자 또는 개발자의 ID를 검증합니다.
- 악성 코드로부터 보호: 무단 개조 및 맬웨어 설치를 방지하여 사용자를 잠재적인 위협으로부터 보호합니다.
- 규정 준수 및 신뢰 유지: 운영 체제와 브라우저 등 다수의 플랫폼에서는 설치나 실행을 위해 서명된 코드를 요구하며, 이를 통해 규정 준수를 보장하고 최종 사용자의 신뢰를 구축합니다.
코드 서명은 어떻게 작동합니까?
프로세스는 다음과 같이 진행됩니다.
- 키 생성: 소프트웨어 개발자나 게시자는 암호화 키(개인 키 1개, 공개 키 1개)를 생성합니다. 조직은 공개 키를 Certificate Authority(CA)에 제출하고 코드 서명 인증서를 요청합니다.
- 인증서 획득: Certificate Authority는 개발자의 ID를 확인하고 개발자의 디지털 서명된 인증서 요청을 인증합니다.
- 디지털 서명: 개발자는 서명 도구를 사용하여 개인 코드 서명 키를 소프트웨어나 소스 코드에 적용합니다. 이를 통해 소프트웨어와 개발자의 ID를 연결하는 디지털 서명이 생성됩니다.
- 배포: 서명된 코드가 배포되면 최종 사용자나 시스템은 디지털 인증서에 포함된 공개 키를 사용하여 해당 코드의 진위성과 무결성을 확인할 수 있습니다. 이는 코드가 변경되거나 악성 코드가 삽입되지 않았음을 확인합니다.
코드 서명 인증서란 무엇입니까?
코드 서명 인증서는 소프트웨어 게시자 또는 개발자의 ID를 확인하기 위해 Certificate Authority가 발급하는 일종의 디지털 인증서입니다. 서명된 코드가 신뢰할 수 있는 출처에서 제공되었는지 확인함으로써 코드 서명 프로세스에서 중요한 역할을 하며, 악의적인 행위자의 사칭을 방지합니다.
OV 코드 서명과 EV 코드 서명의 차이점은 무엇입니까?
OV 및 EV 코드 서명은 검증 프로세스, 보안 기능 및 신뢰 수준이 서로 다른 두 가지 유형의 인증서입니다.
- 조직 검증(OV): OV 인증서는 표준 검사를 통해 조직의 ID를 검증하고 개발자의 시스템에 개인 키를 저장할 수 있도록 합니다. 소규모 조직이나 내부 애플리케이션에 적합하며 기본적인 수준의 신뢰를 제공합니다.
- 확장 검증(EV): EV Code Signing Certificate은 물리적 및 운영적 검사를 포함한 엄격한 검증이 필요하며, 개인 키는 USB 토큰과 같은 변조 방지 장치에 저장됩니다. 이를 통해 더 높은 신뢰 수준을 제공하고, SmartScreen 경고를 우회하며, 광범위하게 배포되거나 주목도가 높은 소프트웨어에 이상적입니다.
코드 서명 서비스란 무엇입니까?
코드 서명 서비스는 조직에 안전한 인프라와 코드 서명을 위한 도구를 제공함으로써 디지털 서명 프로세스를 간소화합니다. 이 서비스는 규정 준수와 확장성을 보장하는 동시에 서명된 코드를 보호해야 하는 소프트웨어 게시자와 개발자에게 특히 유용합니다. 최신 코드 서명 서비스에는 역할 기반 액세스 제어, 감사 로그, 자동화된 DevOps 파이프라인 지원과 같은 기능이 포함될 수 있습니다.
Entrust Code Signing Gateway란 무엇입니까?
Entrust Code Signing Gateway는 조직의 코드 서명 프로세스를 단순화하고 보호하도록 설계된 안전하고 확장 가능한 솔루션입니다. 이 솔루션은 소프트웨어 게시자와 개발자가 중앙 집중식 변조 방지 환경에서 서명 키와 인증서를 관리하는 데 도움이 됩니다.
주요 기능은 다음과 같습니다.
- 중앙 집중식 키 관리: 안전한 하드웨어 보안 모듈(HSM)에서 서명 키를 보호하여 암호화 키가 안전하게 유지되고 조직의 통제를 받도록 보장합니다.
- 코드 서명 작업 간소화: 소프트웨어 개발의 일관성과 효율성을 보장하기 위해 정책과 워크플로를 통해 서명 프로세스를 자동화합니다.
- 보안 및 규정 준수 강화: 악성 코드 삽입으로부터 보호하는 등 보안 표준 및 규정 요구 사항을 준수하는 코드 서명 관행을 보장합니다.
- DevOps 파이프라인과의 통합: 최신 소프트웨어 개발 워크플로에 원활하게 통합되어 작업을 방해하지 않고도 안전한 코드 서명이 가능합니다.
Entrust Code Signing Gateway를 사용하면 조직은 서명 키를 보호하고, 서명된 코드의 무결성을 보장하고, 인증 및 확인을 거친 소프트웨어를 통해 최종 사용자와의 신뢰를 구축할 수 있습니다. 이는 안전하게 확장하고 제어권을 유지하려는 기업을 위한 강력한 코드 서명 솔루션입니다.
Entrust Code Signing Gateway 리소스
관련 제품
아래의 양식을 작성하시면 Entrust HSM 및 코드 서명 솔루션 전문가가 곧 연락을 드릴 것입니다.