Code Signing – zaufani dostawcy podpisują swoje aplikacje.

Właściwe oznaczanie kodu aplikacji, za pomocą code signing, będzie kluczowym czynnikiem bezpieczeństwa w dobie popularności architektury modułowej. Eksperci Certum z grupy Asseco nie mają co do tego wątpliwości.

Analitycy Gartnera wskazują bezpieczeństwo architektury modułowej (ang. composable architecture) jako jeden z ważniejszych trendów technologicznych. Organizacje, chcą sprawniej reagować na zmiany rynkowe i oczekiwania klientów. Coraz częściej zatem tworzą aplikacje wykorzystujące gotowe moduły. Zastępują tym samym dotychczas stosowane systemy monolityczne. Dzięki temu mogą szybciej dostarczać rozwiązania na rynek i tym samym zapewnić sobie przewagę konkurencyjną. Do 2027 r. ponad 50 proc. kluczowych aplikacji biznesowych powstanie z wykorzystaniem architektury modułowej.

Co to jest code signing?

Certyfikaty Code Signing umożliwiają cyfrowe podpisanie aplikacji, sterowników oraz programów. Poświadczają tym ich autentyczność. Co więcej, pozwalają stwierdzić czy od momentu podpisania osoby trzecie nie wprowadziły zmian w kodzie. Zdarzają się bowiem przypadki, gdy cyberprzestępcy próbują pozyskiwać certyfikaty Code Signing na potrzeby prowadzonych kampanii malware. Jednak szczegółowe standardy tworzone na poziomie międzynarodowym skutecznie odstraszają i uniemożliwiają takie działania.

Podpisywanie aplikacji a walka o klienta

Rosnąca popularność Certyfikatów Code Signing ma m.in. związek z ogromną konkurencją na rynku aplikacji, gdzie liczy się czas dostarczenia innowacyjnego produktu, który będzie spełniał oczekiwania konsumenta. Jest to szczególnie widoczne na rynku aplikacji mobilnych. Jak wynika z badania „The State of Mobile 2023” w minionym roku liczba pobrań programów na urządzenia przenośne, wzrosła do 255 miliardów. To o 11% więcej niż rok wcześniej. Zgodnie z przewidywaniami w 2025 roku możemy odnotować skok nawet do 300 miliardów. Te dane pokazują, że rynek aplikacji dynamicznie rośnie, co zdaniem ekspertów Asseco jeszcze bardziej obciąży działy IT, które będą musiały wdrożyć rozwiązania usprawniające ich pracę.

„Wykorzystanie gotowych modułów pozwala zespołom IT pracować szybciej. Sprawia, że czas poświęcony na dostosowanie aplikacji ulega znacznemu skróceniu. Presja nakładana na działy IT, od których oczekuje się, że będą błyskawicznie dostarczały rozwiązania wspierające biznes, rośnie z każdym rokiem. W takich warunkach, zapewnienie bezpieczeństwa jest niezwykle istotne. Programiści muszą mieć pewność, że kod, z którego korzystają, jest pewny. Certyfikat Code Signing to najprostszy sposób, aby to zweryfikować np. w przypadku, gdy następują zmiany w zespole lub organizacja jest na tyle duża, że trudno o sprawny przepływ informacji” – mówi Aleksandra Kurosz, Starszy Specjalista ds. Jakości w Asseco Data Systems.

Komunikat „Nieznany wydawca”

Certyfikat Code Signing zwiększa nie tylko bezpieczeństwo w ramach zespołów IT, ale również eliminuje problem anonimowości kodu w sieci. Dzięki cyfrowemu podpisowi użytkownicy, którzy pobierają aplikację, nie zobaczą ostrzeżenia o „nieznanym wydawcy” w trakcie instalacji lub uruchamiania programu.

„Gdy pobieramy aplikację, pojawia się okno zawierające najważniejsze informacje. Jeśli w polu „autor” widnieje Nieznany Wydawca, wielu użytkowników może odstąpić od instalacji, obawiając się o bezpieczeństwo swojego urządzenia. Oznacza to bowiem, że właściciel oprogramowania nie został pozytywnie zweryfikowany przez Urząd Certyfikacji. Certyfikat Code Signing pozwala „podpisać” aplikację, dzięki czemu użytkownicy wiedzą, że pochodzi ona od zaufanego publicznie wydawcy” – tłumaczy Anna Sikorska, Product Manager w Asseco Data Systems.