コード署名証明書とは?
コード署名証明書は、ソフトウェアの発行元に発行されるX.509証明書で、バイナリ、インストーラー、スクリプトに暗号署名を付与するために使われます。この署名により、ユーザーやオペレーティングシステムは誰がそのソフトウェアを作成したかを検証し、署名以降に改ざんされていないことを確認できます。多くのプラットフォームは、署名のない実行ファイルに対して警告を出すか、実行をブロックします。
なぜ重要か
有効な署名がなければ、ユーザーはダウンロードが本当の発行元から来たのか攻撃者から来たのかを判断できず、OSは署名のないコードの実行をますます拒否するようになっています。署名鍵を守ることは極めて重要であり、そのため署名はしばしば隔離されたCIのstepで行われ、鍵はハードウェアモジュールや安全な鍵サービスに保管されます。
関連する概念
- 発行元の身元と完全性を検証する
- 署名鍵は厳重に保護する必要がある
- キーレス署名は長期間有効な証明書鍵を避ける
関連ガイド
What Is Notarization?Notarization is submitting signed software to a platform vendor for an automated security scan, after which i…
What Is Keyless Signing?Keyless signing signs artifacts using short-lived certificates tied to a workload identity, so there are no l…
What Is an Attestation?An attestation is a signed, machine-readable statement about a software artifact, such as how it was built, w…