Explorer la signature de code

  • Rversion finale: Yokohama
  • Mis à jour 20 mars 2025
  • 3 minutes de lecture

    • La signature de code fournit une vérification cryptographique pour s’assurer que seuls les scripts autorisés peuvent s’exécuter sur les serveurs MID. La signature de code empêche le traitement des enregistrements de file d’attente ECC non autorisés ou falsifiés par les serveurs MID, préservant ainsi l’intégrité des intégrations entre ServiceNow et les systèmes externes.

    La signature de code crée des signatures numériques pour vos données, qui sont ensuite vérifiées pour confirmer l’authenticité et l’intégrité des données. Code Signing (Signature de code) est un module sous licence en tant que composant de ServiceNow Coffre-fort.

    Remarque :
    L’équipe Service et assistance client doit accorder l’accès à la signature de code.

    La signature de code déclare l’intention derrière l’opération en cours d’exécution et valide si la ressource ou l’enregistrement peut être utilisé aux fins prévues. Pour faciliter la signature de code, le Key Management Framework (KMF) utilise des certificats numériques et un chiffrement asymétrique standard pour les signatures numériques.

    Utilisez la signature de code en interne côté plateforme et infrastructure. La signature de code permet de signer le contenu de tables spécifiques ou d’un sous-ensemble d’enregistrements dans une table de métadonnées donnée.

    		 Diagramme du processus de signature de code

    La signature de code utilise un () sécurisé Cercle de confiance entreCOT vos instances de confiance et protégées pour garantir que seules les instances de confiance autorisées et sécurisées peuvent accéder à la fonctionnalité de signature de code.

    Remarque :
    La signature de code est activée sur l’instance protégée et non sur l’instance de confiance.

    Comment la signature de code protège votre environnement

    Sans signature de code, un attaquant qui accède aux ServiceNow enregistrements peut modifier les instructions SQL dans une instance protégée. Lorsque le serveur MID traite cette demande de source de données, il exécute les commandes SQL malveillantes, compromettant potentiellement l’intégrité et la sécurité du système.

    Lorsque vous implémentez une architecture de cercle de confiance avec la signature de code, le transfert des données vers le serveur MID suit le processus de vérification suivant. Ce processus permet de s’assurer que seul le code autorisé provenant de l’instance de confiance peut s’exécuter sur le serveur MID. Les processus réduisent les vecteurs d’attaque potentiels qui pourraient autrement compromettre vos systèmes.

    1. Les signatures électroniques sont appliquées aux sources de données créées ou mises à jour au sein de l’instance de confiance.
    2. Utilisez le processus de signature de code pour transférer les données signées de l’instance approuvée vers l’instance protégée
    3. Le serveur MID vérifie la signature numérique sur toutes les demandes entrantes, rejetant automatiquement toute demande sans signature valide.
    4. Si le serveur MID rejette une demande, il consigne ce rejet et envoie une notification à l’instance protégée.

    Avantages de la mise en œuvre de la signature de code

    La signature de code offre plusieurs avantages clés :

    Contrôle d'exécution
    Seuls les scripts vérifiés de manière cryptographique peuvent s’exécuter sur les serveurs MID
    Détection d’altération
    Toute modification apportée aux enregistrements signés est immédiatement identifiée et bloquée.
    Protection automatisée
    Le système gère l’application de la sécurité sans nécessiter d’intervention manuelle.
    Journalisation complète
    Tous les échecs de vérification de signature génèrent des enregistrements d’audit détaillés.

    Validation de la signature de code et tâches

    Toutes les tables de métadonnées avec des configurations valides sont signées au moment de la conception à l’aide du module d’extension de métadonnées Code Signing (com.glide.code_signing). Si vous choisissez de signer les tables, les utilisateurs administrateurs disposant du rôle d’administrateur de sécurité ont accès aux tâches de chiffrement de signature de code :

    • Signez les ensembles de mises à jour.
    • Signer en masse des enregistrements.
    • Signez en masse des pièces jointes.
    Signer l’ensemble de mises à jour
    Cette tâche signe les enregistrements qui correspondent à une configuration de signature dans l’ensemble de mises à jour. La tâche ajoute également tous les nouveaux enregistrements de signature et les certificats de vérification à l’ensemble de mises à jour.
    Figure 1. Enregistrement de signature KMF pour l’ensemble de mises à jour
    Enregistrement de configuration de signature pour un ensemble de mises à jour.
    Enregistrements de signature en masse

    Cette tâche signe tous les enregistrements qui correspondent à la configuration de signature appliquée sur une table de métadonnées spécifique.

    Signer en masse des pièces jointes
    Cette tâche signe tous les enregistrements de pièces jointes joints à une table qui correspond à une configuration de signature spécifiée.
    Figure 2. Tâche de chiffrement pour signer en masse les enregistrements
    Tâche de chiffrement pour signer en masse les enregistrements.