Codesignatur erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Codesignatur kann zur Verbesserung der Sicherheit beitragen, indem vertrauliche Anwendungskonfigurationsdaten und Skripts vor der Verwendung validiert werden.

    Codesignatur erstellt digitale Signaturen für die Daten, die später überprüft werden, um die Authentizität und Integrität der Daten zu bestätigen. Codesignatur ist ein Modul, das als Komponente von ServiceNow Vaultlizenziert ist.

    Hinweis:
    Das Team Kundenservice und Support muss Zugriff auf Codesignatur gewähren.

    Codesignatur erklärt die Absicht hinter dem durchgeführten Vorgang und validiert, ob die Ressource oder der Datensatz für den beabsichtigten Zweck verwendet werden kann. Um die Codesignatur zu erleichtern, verwendet Key Management Framework (KMF) digitale Zertifikate und asymmetrische Verschlüsselung nach Branchenstandard für digitale Signaturen.

    Verwenden Sie die Codesignatur intern auf der Plattform- und Infrastrukturseite. Codesignatur bietet eine Möglichkeit, den Inhalt bestimmter Tabellen oder einer Teilmenge von Datensätzen in einer bestimmten Metadatentabelle zu signieren.

    		 Diagramm des Codesignaturprozesses

    Codesignatur verwendet eine sichere Circle of Trust (COT) zwischen Ihren vertrauenswürdigen und Produktionsinstanzen, um sicherzustellen, dass nur autorisierte, sichere vertrauenswürdige Instanzen auf die Codesignaturfunktion zugreifen können.

    Anwendungsfälle

    Codesignatur kann für Vorgänge mit MID-Server und IntegrationHubverwendet werden. Notarisierung ist die Verwendung von Codesignatur zum Erstellen digitaler Signaturen für ECC-Warteschlangendatensätze, die in MID Server-Vorgängen und Integration Hub-Vorgängen verwendet werden.

    Beispielsweise wird eine von ServiceNow geschriebene Skripteinbindung zum Erstellen von ECC-Warteschlangendatensätzen zur Laufzeit als „Basissysteminhalt“ signiert. Er wird als „ordnungsgemäß von der ServiceNow -Instanz ausgegeben“ signiert, im Gegensatz zu einer Einfügung in die ECC-Warteschlange aus einem Hintergrundskript oder einem anderen Ursprung, der nicht validiert und signiert ist.

    IntegrationHub kann Codesignatur verwenden, um dynamische Inhalte zu signieren, die auf der Plattform generiert wurden, und kritische Teile der Anwendungsdaten zu validieren.

    Tipp:

    Zeitstempel stellen sicher, dass signierte Datensätze nicht ablaufen, wenn das Zertifikat abläuft, solange der Datensatz vor Ablauf des Zertifikats signiert wurde. Es gibt eine Toleranzfrist von vier Stunden um das Zertifikatgültigkeitsfenster, um sicherzustellen, dass Zeitunterschiede zwischen Servern Zertifikate nicht absichtlich ungültig machen.

    Validierung und Aufträge der Codesignatur

    Alle Metadatentabellen mit gültigen Konfigurationen werden zur Build-Zeit mit dem Code Signing-Metadaten-Plugin​ (com.glide.code_signing) signiert. Wenn Sie Tabellen signieren, haben Administratoren mit der Rolle „Sicherheitsadministrator“ Zugriff auf Codesignatur-Verschlüsselungsaufträge​:

    • Update Sets signieren.
    • Massensignaturdatensätze.
    • Massensignaturanhänge.
    Signieren Sie das Update Set
    Dieser Auftrag signiert Datensätze, die einer Signaturkonfiguration im Update Set entsprechen. Die Aufgabe fügt dem Update Set auch alle neuen Signaturdatensätze und Verifizierungszertifikate hinzu.
    Abbildung : 1. KMF-Signaturdatensatz für Update Set
    Signaturkonfigurationsdatensatz für ein Update Set.
    Massensignaturdatensätze

    Dieser Auftrag signiert alle Datensätze, die der Signaturkonfiguration entsprechen, die auf eine bestimmte Metadatentabelle angewendet wird​.

    Massensignaturanhänge
    Dieser Auftrag signiert alle Anhangsdatensätze, die an eine Tabelle angehängt sind, die einer angegebenen Signaturkonfiguration entspricht​.
    Abbildung : 2. Verschlüsselungsauftrag zum Massensignieren von Datensätzen
    Verschlüsselungsauftrag zum Massensignieren von Datensätzen.