Codesignatur erkunden

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Codesignatur kann die Sicherheit verbessern, indem vertrauliche Anwendungskonfigurationsdaten und Skripts vor ihrer Verwendung validiert werden.

    Die Codesignatur erstellt digitale Signaturen für die Daten, die später überprüft werden, um die Authentizität und Integrität der Daten zu bestätigen. „Codesignatur“ ist ein Modul, das als Komponente von ServiceNow Vaultlizenziert wird.

    Hinweis:
    Das Team Kundenservice und Support muss Zugriff auf die Codesignatur gewähren.

    Codesignatur deklariert die Absicht hinter dem durchgeführten Vorgang und validiert, ob die Ressource oder der Datensatz für den beabsichtigten Zweck verwendet werden kann. Um das Signieren von Codesignatur zu erleichtern, verwendet die Key Management Framework (KMF) digitale Zertifikate und asymmetrische Verschlüsselung nach Industriestandard für digitale Signaturen.

    Verwenden Sie Codesignatur intern auf Plattform- und Infrastrukturseite. Codesignatur bietet eine Möglichkeit, den Inhalt bestimmter Tabellen oder einer Teilmenge von Datensätzen in einer bestimmten Metadatentabelle zu signieren.

    		 Diagramm des Codesignaturprozesses

    Die Codesignatur verwendet ein sicheres Circle of Trust (COT) zwischen Ihren vertrauenswürdigen und Produktionsinstanzen, um sicherzustellen, dass nur autorisierte, sichere und vertrauenswürdige Instanzen auf die Codesignatur zugreifen können.

    Anwendungsfälle

    Codesignatur kann für Vorgänge mit MID-Server und IntegrationHubverwendet werden. Notarisierung ist die Verwendung von Codesignatur zum Erstellen digitaler Signaturen für ECC-Warteschlangendatensätze, die in MID-Server-Vorgängen und Integrations-Hub-Vorgängen verwendet werden.

    Beispielsweise wird eine von ServiceNow geschriebene Skripteinbindung zum Erstellen von ECC-Warteschlangendatensätzen zur Laufzeit als „Basissysteminhalt“ signiert. Es ist als „ordnungsgemäß von der Instanz ServiceNow ausgestellt“ signiert, im Gegensatz zu einer Einfügung in die ECC-Warteschlange von einem Hintergrundskript oder einem anderen Ursprung, der nicht validiert und signiert ist.

    IntegrationHub können Codesignatur verwenden, um auf der Plattform generierte dynamische Inhalte zu signieren und kritische Teile der Anwendungsdaten zu validieren.

    Tipp:

    Zeitstempel stellen sicher, dass signierte Datensätze nicht ablaufen, wenn das Zertifikat abläuft, sofern der Datensatz vor dem Ablauf des Zertifikats signiert wurde. Es gibt einen 4-Stunden-Kulanzzeitraum um das Zertifikatgültigkeitsfenster, um sicherzustellen, dass Zeitunterschiede zwischen Servern Zertifikate nicht absichtlich ungültig machen.

    Validierung und Aufträge der Codesignatur

    Alle Metadatentabellen mit gültigen Konfigurationen werden zur Erstellungszeit mit dem Metadaten-Plugin „Codesignatur“​ (com.glide.code_signing) signiert. Wenn Sie Tabellen signieren möchten, haben Administratoren mit der Rolle „Sicherheitsadministrator“ Zugriff auf Verschlüsselungsaufträge für Codesignatur​:

    • Signieren Sie Update-Sätze.
    • Massensignieren Sie Datensätze.
    • Massensignieren Sie Anhänge.
    Update-Satz signieren
    Dieser Auftrag signiert Datensätze, die einer Signaturkonfiguration im Update Set entsprechen. Die Aufgabe fügt dem Update Set auch alle neuen Signaturdatensätze und Verifizierungszertifikate hinzu.
    Abbildung : 1. KMF-Signaturdatensatz für Update-Satz
    Signaturkonfigurationsdatensatz für ein Update Set.
    Massensignieren Sie Datensätze

    Dieser Auftrag signiert alle Datensätze, die der Signaturkonfiguration entsprechen, die auf eine bestimmte Metadatentabelle angewendet wurde​.

    Massensignieren Sie Anhänge
    Dieser Auftrag signiert alle Anhangsdatensätze, die an eine Tabelle angehängt sind, die einer angegebenen Signaturkonfiguration entspricht​.
    Abbildung : 2. Verschlüsselungsauftrag zum Massensignieren von Datensätzen
    Verschlüsselungsauftrag zum Massensignieren von Datensätzen.