CI/CD 管道是现代工作流程的组成部分，也是支持它们的工具进一步扩展其潜在功能。在现代工作流程中，团队合作至关重要，因为截止日期不仅紧迫，而且定期。当客户在另一端等待时，每一秒都很重要。

当面对手动处理流程的每个步骤时，拥有一个在开发代码过程中需要多个步骤的大型组织可能会变得令人畏惧。这就是为什么CI/CD 管道（例如 Jenkins）等工具现在在开发人员工作空间中变得如此普遍。因此，讨论 CI/CD 的最佳起点是这些工具可以帮助您完成的任务。 

什么是 CI/CD 管道？ 

管道背后的想法是，它是通过构建、测试和部署代码的步骤来驱动软件开发的一系列流程。这也称为 CI/CD。CI/CD 是共享的、通常是本地托管的构建环境的模型。各种平台将 CI/CD 的实现与通信和构建工具捆绑在一起，通过简化构建和发布流程，使软件能够更快地上线。

从历史上看，代码是由单独的团队开发并在个人环境中进行测试的，集成需要时间，并且对损坏代码的反馈需要更长的时间。这会导致构建周期过长并降低效率。通常的做法是使用开发前设计的一定数量的测试用例来测试一段代码。

如果最终代码满足这些标准，它应该很容易集成到现有代码中。但作为开发人员，我们都知道，即使使用精心设计的测试用例，这也远不是唯一可能的结果。如您所知，CI/CD通常是DevOps的基础。它专注于持续集成、交付和部署。

集成步骤包括构建代码本身、运行测试用例以及将代码合并在一起。交付阶段自动将代码发布到指定的存储库，部署阶段顾名思义，自动将代码部署到生产环境。

尽管 CI/CD 管道有很多步骤，但此过程中最重要的步骤之一是测试代码的能力。CI/CD提供了一种大规模执行测试用例的方法，可以通过单个简化的自动化操作来测试代码更改。

代码被推送、由管道接收、测试，如果所有情况都通过，则可以将构建设置为上线。这对提高组织的敏捷性有着令人惊奇的作用。立即修复错误很可能是开发的未来。只是我们在这里错过了重要的一步。任何客户或组织都不应运行未签名的代码。这就是代码签名发挥作用的地方。

什么是代码签名以及为什么它很重要？ 

代码签名是生成数字签名并将其附加到代码的过程，以便最终用户可以相信分发给他们的代码可以安全使用。代码签名的基础知识如下： 

1. 开发人员将决定他们希望签署他们的代码。现在大多数开发人员都会遇到这种情况，因为向最终用户提供未签名的代码是不安全的。

   
   

2. 一旦开发人员决定对其代码进行签名，他们必须生成公钥-私钥对和证书签名请求 (CSR)。公钥-私钥对将开发人员识别为自己，并且是创建 CSR 所必需的。CSR 与密钥对一起提供给证书颁发机构，并且是生成代码数字签名所必需的。

   
   

3. 将公钥-私钥对中的公钥发送到证书颁发机构 (CA)，并请求代码签名证书。

   
   

4. CA 验证发布者的身份，验证发布者的证书请求，然后将发布者的身份与公钥捆绑在一起。

   
   

5. CA 对捆绑包进行签名，从而创建数字代码签名证书。该证书允许开发人员为相关代码生成数字签名，以标识该代码是由软件发行商开发的。

   
   

6. 最后，签名证书被发送给软件发行商，他们现在可以生成数字签名并将其附加到他们的代码中。

现代发布流程需要协同设计，这一步骤取决于您组织当前的流程，可能会大大降低 CI/CD 带来的速度和效率。代码签名证明了代码开发者的身份，并确保了代码的完整性。

发生代码签名时，任何进一步的修改都会使签名无效，从而确保签名的代码不被篡改。这是协同设计的核心优势，也使其在现代世界中变得如此必要。无论您属于哪个行业，如果您不实施代码签名，您的产品将无法在从学校网络到银行的环境中使用。

还有一个好处是可以减轻声誉损害的风险。通过仅分发签名的代码，您的组织可以确保用户习惯于在安装您的软件之前查看签名。这使得他们更不易受到冒充您组织的攻击者的攻击。 

将 CI/CD 管道与 HSM 集成 

因此，我们需要协同设计，但直接访问密钥的自动化构建系统会带来灾难。泄漏和泄露时有发生，因此必须在硬件安全模块 (HSM) 中正确存储和保护您的协同签名密钥。去年，不使用 HSM 保护协同签名密钥的后果已经显现，组织无法访问服务固件的协同签名密钥。

由于它们为固件提供服务，因此这些密钥无法循环或更换，其后果将困扰受影响的公司多年。HSM 不仅是用于协同设计的工具，也是用于保护公钥基础设施和数据库加密密钥的工具。必须说，HSM 是几乎所有组织存储数据、加密密钥或开发代码的重要工具。

现在，当我们谈论 HSM 时，一些有轻微经验的人可能会认为管理HSM可能是一个困难的过程。最佳安全性意味着定期更新固件和软件、定期审核以及正确管理密钥访问。此外，还有将 HSM 实际集成到现有管道中的工作。

揽阁信息出售的Thales Luna HSM和Thales ProtectServer HSM已经与包括微软、Keyfactor、Digicert、EJBCA以及国产品牌等众多PKI系统进行了集成，欢迎联系我们了解更多详情。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 数据安全合规： 2023年印度数字个人数据保护法（DPDP）

• Thales和Redhat如何保护电信公司免受API攻击

• Luna HSM的拓展密钥存储能力（SKS）

• 代码签名流程：代码签名进度等级指南

• 确保数字信任：来源验证的要点