1. 程式人生 > >沃通程式碼簽名證書,保護程式碼安全、贏得使用者信任

沃通程式碼簽名證書,保護程式碼安全、贏得使用者信任

軟體程式碼開發需要開發者投入大量精力和人力物力,但您的軟體程式碼釋出到網際網路上後可能會發生各種狀況,軟體程式碼可能受到黑客攻擊、病毒感染或任何方式的篡改,也可能因為“釋出者身份未知”的系統警告嚇跑使用者。而使用者要找到安全可靠的軟體程式也並不容易,在網際網路上下載Java程式、外掛、ActiveX控制元件或其他可執行檔案時,無法瞭解軟體釋出者的真實身份資訊,也無從得知這些軟體包有沒有被篡改,甚至植入病毒木馬,這使得使用者在執行程式碼程式時承擔了較大的安全風險。

程式碼簽名機制是基於PKI技術的成熟機制,幫助開發者和終端使用者建立安全信任的軟體釋出環境和使用環境。程式碼簽名證書是由權威CA機構認證開發者身份後頒發,提供給軟體開發者對其開發的軟體程式碼進行數字簽名,附上可信身份證明並保護程式碼完整性,防止軟體程式碼被仿冒或篡改。使用者下載軟體時,作業系統或瀏覽器可通過數字簽名驗證軟體程式碼來源可信,且沒有被非法篡改或植入病毒木馬,保護使用者不會被病毒、惡意程式碼和間諜軟體所侵害。

較新的作業系統和瀏覽器都設定較高級別的網路安全策略,要求應用程式、驅動程式和軟體程式新增數字簽名。例如,Internet Explorer 利用 Authenticode 技術來識別簽名軟體的釋出者,並確認它沒有被篡改;Windows使用者帳戶控制(UAC)會對任何互動式應用程式強制執行數字簽名檢查。

當用戶從某網站下載程式碼簽名檔案時,系統可以從檔案中提取證書,通過證書頒發機構的信任列表、頒發機構資訊訪問 (AIA) 檢查等途徑驗證證書中的簽名,每個證書均要進行各種相關引數的有效性驗證,如名稱、時間、簽名、吊銷狀態以及其他限制。如果簽名軟體以任何方式被篡改,則會破壞數字簽名,作業系統或瀏覽器會提醒使用者程式碼已修改且不再可信。

沃通程式碼簽名證書是由全球信任頂級根簽發,根證書預置在作業系統和瀏覽器的受信任列表,以及大部分裝置和應用程式中,無縫實現簽名程式碼驗證和信任。根據驗證等級和功能不同,沃通程式碼簽名證書分為單位程式碼簽名證書和EV程式碼簽名證書。

兩類程式碼簽名證書都需要驗證軟體開發機構的單位真實身份,都支援多用途的普通程式碼簽名,但沃通EV程式碼簽名證書需要遵循更加嚴格的擴充套件驗證標準,並採用更安全的私鑰儲存方式( USB Key硬體儲存),也具備更豐富的應用功能,EV程式碼簽名證書支援Windows硬體認證(即徽標認證),可以用它建立Windows硬體開發人員中心儀表板賬號,並支援在Windows SmartScreen篩選器中快速建立信譽,讓程式流暢執行。

對於程式開發者或軟體釋出者而言,在激烈的軟體市場競爭中,軟體程式碼就是您的聲譽,如果您的軟體版本受到黑客攻擊、病毒感染或以任何方式發生篡改,將遭受系統攔截、查殺,損害使用者對軟體的信任和使用軟體的信心,對軟體程式碼帶來致命打擊。利用程式碼簽名證書保護軟體程式碼安全、建立軟體信譽,是軟體程式碼釋出前必須做