Explorando a assinatura de código
A assinatura de código pode ajudar a melhorar a segurança validando dados e scripts de configuração de aplicação confidenciais antes de serem usados.
A assinatura de código cria assinaturas digitais para os dados, que posteriormente são verificadas para confirmar a autenticidade e a integridade dos dados. A assinatura de código é um módulo licenciado como um componente de ServiceNow Vault.
A assinatura de código declara a intenção por trás da operação que está sendo realizada e valida se o recurso ou registro pode ser usado para a finalidade pretendida. Para facilitar a assinatura de código, o Estrutura de gestão principal (KMF) usa certificados digitais e criptografia assimétrica padrão do setor para assinaturas digitais. Use a assinatura de código internamente no lado da plataforma e infraestrutura. A assinatura de código fornece uma maneira de assinar o conteúdo de tabelas específicas ou de um subconjunto de registros em uma determinada tabela de metadados. |
A assinatura de código usa um sinal seguro Circle of Trust (COT) entre suas instâncias confiáveis e de produção para garantir que apenas instâncias confiáveis autorizadas e seguras possam acessar o recurso de assinatura de código.
Casos de uso
A assinatura de código pode ser usada para operações com MID Server e Integration Hub. Notarização é o uso de assinatura de código para criar assinaturas digitais para registros de fila do ECC usados em operações do MID Server e operações do Integration Hub.
Por exemplo, uma inclusão de script gravada por ServiceNow para criar registros de fila do ECC no tempo de execução é assinada como "conteúdo do sistema de base". Isso é assinado como "emitido corretamente pela instância ServiceNow", em oposição a uma inserção na fila do ECC de um script em segundo plano ou outra origem que não esteja validada e assinada.
O Integration Hub pode usar a Assinatura de código para assinar o conteúdo dinâmico gerado na plataforma e validar as partes críticas dos dados da aplicação.
Os carimbos de data/hora garantem que os registros assinados não expirem quando o certificado expirar, desde que o registro tenha sido assinado antes da expiração do certificado. Existe um período de carência de 4 horas em torno da janela de validade do certificado para garantir que as diferenças de tempo entre os servidores não invalidem os certificados intencionalmente.
Validação de assinatura de código e trabalhos
Todas as tabelas de metadados com configurações válidas são assinadas no momento da construção usando o plug-in de metadados Assinatura de códigos (com.glide.code_signing). Se você optar por assinar as tabelas, os usuários administradores com função de administrador de segurança terão acesso aos trabalhos de criptografia de assinatura de códigos:
- Assinar conjuntos para atualização.
- Assinar registros em massa.
- Anexos de assinatura em massa.
- Assinar conjunto de atualizações
- Este trabalho assina os registros que correspondem a uma configuração de assinatura no conjunto de atualizações. O trabalho também adiciona todos os novos registros de assinatura e certificados de verificação no conjunto de atualizações.
Figura 1. Registro de assinatura KMF para o conjunto de atualizações - Assinar registros em massa
Este trabalho assina todos os registros que correspondem à configuração de assinatura aplicada em uma tabela de metadados específica.
- Assinar anexos em massa
- Esta tarefa assina todos os registros de anexo incluídos em uma tabela que corresponde a uma configuração de assinatura especificada.
Figura 2. Trabalho de criptografia para assinar registros em massa