IT-dienstverlener Fullstaq maakt Venafi’s Next-Gen Code Signing oplossing beschikbaar via een gratis GitHub plugin voor Jenkins, de meest gebruikte DevOps tool. Hiermee pakken zij cybercriminaliteit met gestolen en vervalste certificaten aan. De bètaversie verschijnt in de zomer van 2020.
Steeds meer malware met gestolen en vervalste certificaten
De Next-Gen Code Signing oplossing van Venafi, marktleider in cyber security, is nu belangrijker dan ooit. Cybercriminelen stelen encryptiesleutels en certificaten van softwareontwikkelaars om malware te ondertekenen en mensen zo te verleiden tot installatie van de malware. In 2019 alleen al zijn 22 miljoen malware applicaties ondertekend met gestolen of vervalste certificaten. ASUS, de Taiwanese computerfabrikant, werd hier bijvoorbeeld begin 2019 slachtoffer van
1. Cybercriminelen brachten malware in omloop via de update software van ASUS waardoor er vele computers geïnfecteerd raakten.
Next-Gen Code Signing via Jenkins
De Next-Gen Code Signing oplossing is een centraal platform dat code ondertekend via een API. Hiermee is het mogelijk om privé encryptiesleutels en digitale certificaten te beveiligen, code signing workflows te automatiseren en alle activiteiten rondom code signing te registreren. Momenteel is dit enkel mogelijk via het Venafi platform. De nieuwe plugin stelt organisaties in staat Next-Gen Code Signing te integreren in het deploymentproces via Jenkins. Hierdoor is het proces veiliger en code minder gevoelig voor corruptie.
Intensieve samenwerking Fullstaq en Venafi
Fullstaq ontwikkelt de GitHub plugin voor Jenkins in nauwe samenwerking met het product team van Venafi volgens de Scrum methode. Het project bestaat uit het perfectioneren van de API’s van de Next-Gen Code Signing oplossing en het ontwikkelen van de plugin. Het eindresultaat is een complete en stabiele open source GitHub plugin voor Jenkins.
Arnold van Wijnbergen, Architect bij Fullstaq over de samenwerking:
"In moderne software ontwikkeling heeft de DevOps werkwijze een solide basis. We willen sneller, vaker en geautomatiseerd onze software deployen naar productieomgevingen. Venafi begrijpt dit als geen ander en heeft ons daarom ingeschakeld om het innovatieve Next-Gen Code Signing platform te integreren met Jenkins. We zijn vereerd onze kennis in te mogen zetten voor gerenommeerd bedrijf als Venafi. Fullstaq en Venafi, een mooie combinatie!"
Bètaversie beschikbaar in zomer 2020
Organisaties die Jenkins gebruiken kunnen vanaf de zomer de bètaversie van het Next-Gen Code Signing plugin van Venafi integreren in hun continuous integration en continuous development (CI/CD) pipelines. Eind 2020 verwachten Fullstaq en Venafi de volledig geoptimaliseerde versie te lanceren.
“Engineering teams hebben de kracht van Jenkins nodig in hun build processen”, vertelt Kevin Bocek, VP Ecosystem and Threat Intelligence bij Venafi. ”Fullstaq helpt developers door de snelheid van DevOps te behouden door Next-Gen Code Signing te integreren met Jenkins”
Labyrint van encryptiesleutels door ‘ouderwets’ code signing
Organisaties beschermen door hen ontwikkelde software met behulp van code signing. Code signing zorgt ervoor dat software een digitale handtekening krijgt om zo de identiteit van de maker en de integriteit van de code te garanderen. Helaas is dit validatieproces niet waterdicht: het laat ruimte voor corruptie en beveiligingsproblemen.
Organisaties releasen steeds vaker code, waardoor developers vaak zelf verantwoordelijk zijn voor het ondertekenen van hun eigen code. Het beveiligingsbeleid wordt niet altijd opgevolgd vanwege tijdgebrek of omdat ze de ernst van het probleem niet begrijpen. Persoonlijke encryptiesleutels en digitale certificaten worden dan op verschillende servers, op de eigen laptop of desktop, ergens in de cloud en op andere locaties opgeslagen. Oftewel: een ondoorgrondelijk en onveilig labyrint van encryptiesleutels. De Next-Gen Code Signing oplossing van Venafi lost dit probleem op.
Noot voor de redactie
Voor meer informatie: Gerrit Tamboer,
g.tamboer@fullstaq.com, +31 6 513 689 40
Over Fullstaq
Fullstaq richt zich vooral op het continu ontwikkelen en beheren van DevOps gedreven cloudoplossingen en containerplatformen, veelal gebaseerd op Open Source automation tooling en Infra-as-a-code. Fullstaq is in 2016 opgericht door Open Source engineers Gerrit Tamboer en Fabian Met, specialisten op het gebied van DevOps, cloud- en containerplatformen.
Website Fullstaq
1 Vice: Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of Computers