1. /
  2. Application Security for Mobile Network Providers
  • Compartilhar
Segurança de aplicativos para provedores de redes móveis

Segurança de aplicativos para provedores de redes móveis

  • Lance mais aplicativos no mercado mais rapidamente
  • Promova a inovação
  • Mantenha sua rede protegida

O portal do Symantec Code Signing ajuda você a equilibrar inovação e velocidade de lançamento no mercado com segurança para sua rede e seus clientes.
Os provedores de redes móveis competem furiosamente pela receita e pelos assinantes, com redes mais rápidas, dispositivos mais inteligentes e apps atraentes. Os operadores de redes móveis se tornaram uma comunidade de desenvolvedores crescente e global e criam mais motivos para que seus clientes utilizem os dispositivos móveis. Porém, códigos maliciosos ou contaminados não só interrompem o serviço do usuário, mas expõem toda a rede a riscos.

Como a assinatura de códigos ajuda os provedores de redes móveis

Softwares obtidos por download através de redes móveis, com ou sem o conhecimento do assinante, representam um risco real. Em uma venda de software tradicional, o comprador pode confirmar a fonte e a integridade do aplicativo examinando a embalagem. O Symantec Code Signing cria uma espécie de "lacre" digital que mostra a origem do código e confirma que ele não foi modificado desde a assinatura. O Symantec Code Signing Portal fornece aos provedores de redes móveis o controle dos processos de teste e aprovação, antes que o código atinja suas redes.

Permite o acesso a aplicativos de fontes conhecidas e aprovadas

O Symantec Code Signing Portal exige que os desenvolvedores passem por um processo de validação rigoroso e comprovado, visando obter um ID de fornecedor. O desenvolvedor usa o ID do fornecedor para assinar o código e, em seguida, o carrega no Symantec Code Signing Portal. A Symantec valida a assinatura do fornecedor e elimina a sua assinatura digital, gera um novo par de chaves, assina o conteúdo e o retorna ao fornecedor com o ID de conteúdo exclusivo e recém-gerado para ser usado com confiança na plataforma do fornecedor. Ao exigir que os desenvolvedores assinem seus códigos usando um portal dedicado, os operadores de redes móveis viabilizam o acesso a aplicativos criados por fontes conhecidas e verificadas.

Integre o teste ao processo de aprovação

Para obter sucesso no mercado de dispositivos móveis é necessária constante inovação para conquistar assinantes e utilizar serviços de dados que gerem receita. Os provedores de redes e fornecedores de plataformas móveis que integram o Symantec Code Signing em seu processo de aprovação ajudam a acelerar o lançamento do produto, facilitando o processo de desenvolvimento. Assim que os aplicativos são carregados, os revisores têm acesso fácil na Web às assinaturas digitais de aplicativos para rápida aprovação. Uma API de fornecedor permite que os desenvolvedores integrem o Symantec Code Signing diretamente ao seu processo de criação.

Mais controle e melhor proteção

Com um certificado de assinatura de código tradicional, o desenvolvedor assina todos os códigos com a mesma assinatura digital. Se um código malicioso ou contaminado for descoberto, o certificado deve ser revogado e todos os códigos que tiverem a assinatura digital se tornam inválidos.
O Symantec Code Signing Portal utiliza um processo de assinatura de duas etapas para criar uma assinatura digital exclusiva para cada evento de assinatura de código. Como cada aplicativo tem uma assinatura digital exclusiva, ele pode ser rastreado e revogado sem interromper o acesso a outros códigos e conteúdos publicados pelo desenvolvedor. Isso proporciona mais controle aos operadores de rede e melhor proteção à rede, promovendo também inovação.

Serviço de assinatura de portal privado com marca

Para os provedores de rede e fornecedores de plataformas móveis que desejam ter o controle sobre a assinatura de código e o processo de aprovação, a Symantec oferece um serviço de assinatura de portal privado com marca. Para obter mais informações, contate:
CodeSigningEMEA@symantec.com.

Perguntas frequentes sobre o Symantec Code Signing Portal

O que é a assinatura de código e por que eu preciso dela?

A assinatura de código cria uma espécie de "lacre" digital, que mostra aos clientes a identidade da empresa responsável pelo código e confirma que ele não foi modificado desde que a assinatura foi aplicada. Em uma venda de software tradicional, o comprador pode confirmar a fonte e a integridade do aplicativo examinando a embalagem. Cada vez mais os clientes fazem downloads de aplicativos em seus celulares, instalam plug-ins e complementos e interagem com aplicativos sofisticados baseados na Web. Eles correm o risco de comprometer sua própria segurança e a funcionalidade das redes móveis, caso façam o download de códigos maliciosos ou danificados. O Symantec Code Signing protege sua marca e sua propriedade intelectual com uma assinatura digital, tornando seus aplicativos identificáveis e mais difíceis de serem falsificados ou danificados.

Como o Symantec Code Signing Portal funciona?

Os certificados de assinatura de código são baseados na criptografia de chave pública. Um desenvolvedor ou fornecedor de software utiliza uma chave privada para adicionar uma assinatura digital a um código ou conteúdo. Os aplicativos e plataformas de software utilizam uma chave pública para descriptografar a assinatura durante o download e comparar o hash usado para assinar o aplicativo com o hash do aplicativo obtido por download. O código assinado de uma fonte confiável poderá ser aceito automaticamente ou um aviso de segurança poderá exigir que o usuário final visualize as informações de assinatura para decidir se deve ou não confiar no código.
Com um certificado de assinatura de código, o desenvolvedor assina todos os códigos com a mesma assinatura digital, identificando a fonte do código e certificando de que o código não foi alterado desde a assinatura. O Portal de assinatura de código utiliza um processo de assinatura de duas etapas para criar uma assinatura digital exclusiva cada vez que o código é assinado, facilitando o rastreamento e o cancelamento de cada versão de código publicada. O desenvolvedor utiliza um ID de fornecedor para assinar o código e fazer o login em seu portal de assinatura de código. Em seguida, o desenvolvedor faz o upload de seu código no portal de assinatura de código. A Symantec valida a assinatura do fornecedor e depois elimina sua assinatura digital e gera um novo par de chaves, assina o conteúdo e o retorna ao fornecedor com o ID de conteúdo recém-gerado.

Qual é a diferença entre o ID de fornecedor e o ID de conteúdo?

Um ID de fornecedor é um certificado digital que você recebe quando se inscreve para um portal de assinatura. Ele contém suas informações organizacionais e é usado para assinar digitalmente o seu código ou conteúdo antes que você o carregue no seu portal de assinatura. Ele é usado também para autenticação durante o login no portal de assinatura. O ID de conteúdo é o certificado de assinatura de código exclusivo criado pela Symantec quando seu conteúdo é assinado no Portal de assinatura. Essa é a única assinatura que será confiável no dispositivo do usuário final para fazer o download e a execução seguros. Para assinar um código usando um portal de assinatura, você precisará adquirir um ID de fornecedor e alguns IDs de conteúdo ou "eventos de assinatura".

Eu preciso de quantos IDs de fornecedor?

Toda conta do portal de assinatura de códigos vem com um ID de fornecedor (também chamado de certificado de administrador). Um administrador poderá acessar o portal de assinatura de código e adquirir um ID de fornecedor adicional para diferentes grupos de desenvolvimento dentro da organização. Ao usar uma única conta com vários IDs de fornecedor, a empresa possui um portal para exibir e rastrear todos os eventos de assinatura de código; e cada grupo tem uma identidade exclusiva que pode ser anulada ou modificada para maior segurança.

Eu preciso de quantos IDs de conteúdo ou eventos de assinatura?

Um ID de conteúdo é consumido cada vez que um aplicativo ou código é assinado. Os IDs de conteúdo são vendidos através do Symantec Code Signing Portal em pacotes de eventos de assinatura. Você precisará de um evento de assinatura para cada aplicativo que assinar, inclusive para versões diferentes. Se você tiver um aplicativo Windows Mobile que consista em 1 arquivo cab contendo 1 arquivo exe e um arquivo dll, a assinatura do seu aplicativo gerará 3 assinaturas, uma para cada arquivo dll, exe e cab; porém, somente 1 evento da assinatura será consumido.

É necessário assinar todos os arquivos contidos no arquivo cab ou somente o arquivo cab?

Todos os executáveis contidos no arquivo .cab deverão ser assinados. O Symantec Code Signing Portal assina automaticamente todos os executáveis contidos no arquivo .cab, quando este é carregado para ser assinado.

Quanto tempo leva para assinar um código usando o Symantec Code Signing Portal?

A Symantec assina automaticamente todos os aplicativos aprovados. A assinatura de código poderá levar alguns minutos ou vários dias, dependendo do tipo de serviços de assinatura que você usar e dos requisitos de plataforma de dispositivo ou rede móvel. Para aplicativos que acessam APIs seguras, um fornecedor ou provedor de rede poderá exigir testes. O desenvolvedor assina o aplicativo, envia-o para o departamento de teste, que então carrega o aplicativo no portal de assinatura de código. Quando o aplicativo está pronto para ser assinado, a Symantec notifica o fornecedor ou provedor da rede. Depois que o fornecedor ou provedor de rede aprova o aplicativo, a Symantec conclui o processo de assinatura. Os desenvolvedores podem acompanhar o status de seus aplicativos dentro do portal de assinatura de código. Para obter mais informações sobre os requisitos de teste e aprovação, entre em contato com o seu fornecedor ou provedor de rede diretamente.

Por que eu preciso renovar o meu ID de fornecedor ou ID de administrador?

Os IDs de fornecedor e de administrador expiram depois de 12 meses. A Symantec utiliza um processo robusto e comprovado para autenticar e verificar as empresas antes de emitir certificados de Classe 3, como a assinatura de código. O processo de renovação anual garante que o ID de fornecedor seja usado por uma empresa legítima e que o contato esteja autorizado para desenvolver em nome dessa empresa. Esse é um processo necessário que ocorre antes da emissão de certificados de assinatura de código, incluindo os IDs de fornecedor.

É possível criar um script do processo de assinatura de código com um Portal de assinatura?

A Symantec oferece APIs para contas de Fornecedor e Provedor para uso com o Symantec Code Signing Portal. Você pode solicitar esses Guias de API ao seu respectivo representante local ou à nossa equipe de suporte.

Qual é a duração de uma assinatura digital?

O Symantec Code Signing Portal assina códigos com assinaturas digitais de 10 anos. Mesmo se o ID de fornecedor expirar, o ID de conteúdo exclusivo e a assinatura digital retêm sua validade.

Posso acessar meu Portal de assinatura de código em diferentes computadores?

Você pode acessar seu portal de assinatura de código em qualquer computador usando um token USB que contenha seu ID de fornecedor, desde que esse computador atenda aos requisitos mínimos de sistema. Porém, você deve comprar e recuperar seu ID de fornecedor por meio do mesmo computador. Caso tenha algum problema com a recuperação, confirme que está usando o mesmo computador, navegador e perfil de login usado na inscrição. A Symantec recomenda que os desenvolvedores adquiram IDs de fornecedor adicionais, em vez de compartilharem certificados, para um melhor gerenciamento e segurança.

Como alguém sabe que pode confiar na minha assinatura digital?

A simples assinatura do seu código garante que ele não foi violado e que provém de você, mas não verifica quem você é. Uma autoridade de certificação terceira tem mais credibilidade do que um certificado autoassinado, pois indica que o solicitante do certificado teve que passar por um processo de investigação e autenticação. Quando aplicativos e plataformas de software verificam uma assinatura digital, eles acessam um certificado-raiz para determinar se a autoridade de certificação que emitiu o certificado é ou não confiável. Como os certificados-raiz da Symantec são pré-instalados na maioria dos dispositivos e incorporados em quase todos os aplicativos, as assinaturas digitais da Symantec são quase sempre confiáveis, o que reduz os avisos e as mensagens de erro.

O que acontece se eu perder meu token USB ou ID de fornecedor ou se eles se tornarem comprometidos?

Um token USB com um ID de fornecedor ou uma senha de token não podem ser substituídos caso sejam roubados ou perdidos, pois você não deseja que alguém os encontre e os utilize para assinar códigos em seu nome. Se a sua chave privada for perdida ou comprometida, ou se suas informações forem alteradas, você deverá revogar seu ID de fornecedor imediatamente e substituí-lo por um novo certificado digital.

Fale Conosco

Para aumentar las descargas primero inspire confianza
Assinatura de código para desenvolvedores da Microsoft