1. /
  • Lägg till
Application Security for Mobile Network Providers

Programsäkerhet för mobilleverantörer

  • Få ut fler program på marknaden snabbare
  • Uppmuntra nyskapande
  • Skydda ditt nätverk

Med Symantec Code Signing Portal Portal får du en balans mellan nyskapande/snabb lansering och ditt nätverks/dina kunders säkerhet.
Mobilleverantörer konkurrerar om kunder och intäkter med snabbare nätverk, smartare enheter och bättre program. De vänder sig till växande, globala grupper av utvecklare för att ge kunderna fler anledningar till att använda just deras mobiler. Ändå finns det felaktig och farlig kod som inte bara stör användarens tjänster, utan även utsätter hela nätverket för risker.

Så här hjälper kodsignering mobilleverantörer

Programvara som laddas ner via mobila nätverk – med eller utan kundens samtycke – innebär risker. Vid traditionell programvaruförsäljning kan köparen bekräfta programmets källa och integritet genom att kontrollera förpackningen. Med Symantec Code Signing skapas en digital ”inplastning” som visar kodens källa samt bekräftar att den inte har ändrats efter att signaturen godkändes. Via Symantec Code Signing Portal kan mobilleverantörer få kontroll över testningen och godkännandeprocessen innan koden når deras nätverk.

Aktivera åtkomst till program från kända och godkända källor

För att få ett utgivar-ID på Symantec Code Signing Portal måste utvecklare gå igenom en grundlig och beprövad valideringsprocess. Utvecklaren signerar koden med sitt utgivar-ID och laddar sedan upp koden på Symantec Code Signing Portal. Symantec validerar utgivarens signatur, tar bort den digitala signaturen och skapar ett nytt nyckelpar, signerar innehållet och skickar tillbaka det till utgivaren med ett nytt och unikt innehålls-ID för godkänd användning på utgivarens plattform. Genom att kräva att utvecklare signerar sin kod via en därför avsedd portal, kan mobilleverantörerna aktivera åtkomst till program som har skapats av kända och verifierade källor.

Integrera testning i godkännandeprocessen

För att lyckas på den mobila marknaden krävs konstant utveckling, så att man kan konkurrera om kunder och skapa vinstgenererande datatjänster. Genom att integrera Symantec Code Signing i sin godkännandeprocess kan nätverksleverantörer och mobilplattformssäljare effektivisera utvecklingsprocessen och förkorta tiden till marknad. Så snart ett program har laddats upp kan granskare enkelt få åtkomst till programmets digitala signatur via webben, för ett snabbt godkännande. Via ett utgivar-API kan utvecklare integrera Symantec Code Signing direkt i programmeringsprocessen.

Större kontroll och bättre skydd

Med ett traditionellt kodsigneringscertifikat måste utvecklaren signera all kod med samma digitala signatur. Om felfungerande eller farlig kod upptäcks måste certifikatet återkallas och all kod med den digitala signaturen blir ogiltig.

På Symantec Code Signing Portal används en signeringsprocess i två steg som skapar en unik, digital signatur för varje kodsigneringstillfälle. Eftersom varje program har en unik, digital signatur kan det spåras och återkallas utan att användningen av övrig kod eller annat innehåll från den utvecklaren störs. Detta ger nätverksleverantörerna större kontroll och bättre nätverksskydd samtidigt som det främjar utvecklingen.

Signeringstjänst för egna varumärken (Private Branded)

För nätverksleverantörer och mobilplattformssäljare som vill ha kontroll över kodsignerings- och godkännandeprocessen erbjuder Symantec en signeringstjänst för egna varumärken (Private Branded). Kontakta CodeSigning_EMEA@symantec.com för mer information.

Vanliga frågor om Symantec Code Signing Portal

Vad är kodsignering och varför behöver jag det?

Med kodsignering skapas en digital ”inplastning” som visar kodens ursprungskälla för kunden och bekräftar att koden inte har modifierats sedan signaturen lades till. Vid traditionell programvaruförsäljning kan köparen bekräfta programmets källa och integritet genom att kontrollera förpackningen. Kunder laddar ner allt fler program till sina mobiltelefoner, de installerar plugin-program och tilläggsprogram och interagerar med avancerade, webbaserade program. De sätter sin egen säkerhet på spel och riskerar mobilnätens funktion om de laddar ner skadlig eller felaktig kod. Symantec Code Signing skyddar ditt varumärke och din immateriella egendom med en digital signatur som gör dina program identifierbara och svårare att förfalska eller skada.

Hur fungerar Symantec Code Signing Portal?

Kodsigneringscertifikat baseras på kryptering med publik nyckel. En utvecklare eller programutgivare använder en privat nyckel för att lägga till en digital signatur i koden eller innehållet. Plattformar och program använder en publik nyckel för att dekryptera signaturen under nedladdningen och jämför den hash som användes för att signera programmet med den hash som finns på det nedladdade programmet. Signerad kod från en betrodd källa kan godkännas automatiskt eller så kan en säkerhetsvarning kräva att slutanvändaren granskar signatursinformationen och beslutar om koden är pålitlig eller inte.

Med ett kodsigneringscertifikat signerar utvecklaren alla koder med samma digitala signatur, vilket identifierar kodens källa och bekräftar att koden inte har manipulerats sedan den signerades. I Code Signing Portal används en signeringsprocess i två steg för att skapa en unik digital signatur varje gång en kod signeras. Det gör att varje kodversion blir lättare att spåra och återkalla. Utvecklaren använder ett utgivar-ID för att signera koden och logga in på sin Code Signing Portal. Utvecklaren överför sedan koden till Code Signing Portal. Symantec validerar utgivarens signatur, tar bort den digitala signaturen och skapar ett nytt nyckelpar, signerar innehållet och skickar tillbaka det till utgivaren med ett nytt innehålls-ID.

Vilken skillnad är det mellan ett utgivar-ID och ett innehålls-ID?

Ett utgivar-ID är det digitala certifikat som du får när du registrerar dig på en signeringsportal. Det innehåller information om ditt företag och används för att digitalt signera din kod eller ditt innehåll innan du överför den/det till signeringsportalen. Det används också för autentisering när du loggar in på signeringsportalen. Innehålls-ID:t är det unika Code Signing-certifikat som skapas av Symantec när ditt innehåll signeras i signeringsportalen. Det är den enda signaturen som godkänns på slutanvändarens enhet för säker nedladdning och körning. För att kunna signera kod via en signeringsportal måste du köpa ett utgivar-ID och ett paket med flera innehålls-ID:n eller ”signeringstillfällen”.

Hur många utgivar-ID:n behöver jag?

Alla konton för en Code Signing Portal har ett utgivar-ID (kallas också för administratörscertifikat). En administratör kan logga in på kodsigneringsportalen och köpa fler utgivar-ID:n för olika utvecklargrupper inom företaget. Genom att använda ett enda konto med flera utgivar-ID:n får företaget en portal där de kan visa och spåra alla kodsigneringstillfällen, och varje grupp har en unik identitet som kan återkallas eller ändras om säkerheten behöver höjas.

Hur många innehålls-ID:n eller signeringstillfällen behöver jag?

Ett innehålls-ID förbrukas varje gång som ett program eller en kod signeras. Innehålls-ID:n säljs via Symantec Code Signing Portal i paket tillsammans med signeringstillfällen. Du behöver ett signeringstillfälle för varje program som du signerar, inklusive olika versioner. Om du har ett Windows Mobile-program som består av en CAB-fil med en EXE-fil och en DLL-fil, genereras tre signaturer när ditt program signeras, en för var och en av DLL-, EXE- och CAB-filerna, men det är bara ett signeringstillfälle som används.

Måste jag signera alla filer i CAB-filen eller bara CAB-filen?

Alla körbara filer i CAB-filen måste signeras. Symantec Code Signing Portal signerar automatiskt alla de körbara filer som ingår i CAB-filen när den överförs för att signeras.

Hur lång tid tar det att signera kod via Symantec Code Signing Portal?

Symantec signerar automatiskt godkända program. Kodsignering kan ta allt från ett par minuter ända upp till ett par dagar. Det beror på vilken typ av signeringstjänster du använder och kraven för enhetens plattform eller mobilnätverk. För program som har åtkomst till säkra API:er kan en nätverksleverantör eller säljare kräva testning. Utvecklaren signerar programmet och skickar det till testaren, som i sin tur överför programmet till Code Signing Portal. Symantec meddelar nätverksleverantören eller säljaren att programmet kan signeras. När nätverksleverantören eller säljaren godkänner programmet slutför Symantec signeringsprocessen. Utvecklarna kan spåra statusen för sina program i Code Signing Portal. Kontakta nätverksleverantören eller säljaren direkt om du vill ha mer information om krav för testning och godkännande.

Varför måste jag förnya mitt utgivar-ID/administratörs-ID?

Utgivar-ID:n och administratörs-ID:n upphör att gälla efter 12 månader. Symantec använder en beprövad, stabil process för att autentisera och verifiera företag innan de utfärdar klass 3-certifikat som t ex kodsignering. Den årliga förnyelseprocessen garanterar att utgivar-ID:t används av ett godkänt företag och att kontakten är godkänd för utveckling åt det företaget. Det här är en process som måste genomföras innan kodsigneringscertifikat och utgivar-ID utfärdas till dig.

Går det att köra skript för kodsigneringsprocessen via Code Signing Portal?

Symantec erbjuder API:er för både utgivar- och leverantörskonton för användning med Symantecs Code Signing-portal. Du kan begära dessa API-handledningar från din lokala kontorepresentant eller från vårt supportteam.

Hur länge gäller en digital signatur?

Symantec Code Signing Portal signerar koder med digitala signaturer som gäller i 10 år. Även om utgivar-ID:t upphör att gälla så är fortfarande det unika innehålls-ID:t och den digitala signaturen giltiga.

Kan jag få tillgång till Code Signing Portal från olika datorer?

Du kan få tillgång till din kodsigneringsportal från valfri dator om du använder ett USB-token som innehåller ditt utgivar-ID och så länge datorn uppfyller systemkraven. Du måste dock köpa och hämta utgivar-ID:t från samma dator. Om du har problem med att hämta certifikatet, kontrollerar du att du använder samma dator, webbläsare och inloggningsprofil som du använde vid registreringen. Symantec rekommenderar att utvecklare köper ytterligare utgivar-ID:n i stället för att dela certifikat eftersom det ger högre säkerhet och bättre hanteringsmöjligheter.

Hur vet någon om han/hon kan lita på min digitala signatur?

När du signerar din kod garanterar du att den inte har manipulerats och att den kommer från dig, men det verifierar inte vem du är. Ett certifikat från tredje part är mer betrott än ett självsignerat certifikat eftersom certifikatinnehavaren måste genomgå en autentiseringsprocess. När programvaruplattformar och program verifierar en digital signatur får de tillgång till ett rotcertifikat som avgör om den som utfärdade certifikatet är tillförlitlig eller inte. Eftersom rotcertifikat från Symantec är förinstallerade på de flesta enheter och inbäddade i de flesta program, är digitala signaturer från Symantec nästan alltid betrodda, vilket minskar antalet varningar och felmeddelanden.

Vad händer om jag tappar bort mitt USB-token eller utgivar-ID eller om det blir skadat?

Ett USB-token med ett utgivar-ID eller token-lösenord kan inte ersättas om det stjäls eller kommer bort på annat sätt, eftersom du inte vill att någon hittar och använder det för att signera koder i ditt namn. Om du förlorar din privata nyckel, om den blir stulen eller om din information ändras, ska du återkalla ditt utgivar-ID omedelbart och skaffa ett nytt digitalt certifikat.

Kontakta våra säljare