# SEC06-BP04 Validasi integritas perangkat lunak SEC06-BP04 Validasi integritas perangkat lunak Gunakan verifikasi kriptografis untuk memvalidasi integritas artefak perangkat lunak (termasuk citra) yang digunakan beban kerja Anda.  Tanda tangani perangkat lunak Anda secara kriptografis sebagai perlindungan terhadap perubahan-perubahan tidak sah yang berjalan di lingkungan komputasi Anda. **Hasil yang diinginkan:** Semua artefak diperoleh dari sumber-sumber yang tepercaya. Sertifikat situs web vendor divalidasi.  Artefak yang diunduh sudah diverifikasi secara kriptografis berdasarkan tanda tangannya. Perangkat lunak Anda sendiri ditandatangani secara kriptografis dan diverifikasi oleh lingkungan-lingkungan komputasi Anda. **Anti-pola umum:** + Memercayai situs web vendor terkemuka untuk mendapatkan artefak perangkat lunak, tetapi mengabaikan pemberitahuan tentang sertifikat yang kedaluwarsa.  Melanjutkan pengunduhan tanpa mengonfirmasi bahwa sertifikatnya valid. + Memvalidasi sertifikat situs web vendor, tetapi tidak secara kriptografis memverifikasi artefak yang diunduh dari situs web ini. + Hanya mengandalkan digest atau hash untuk memvalidasi integritas perangkat lunak.  Hash menetapkan bahwa artefak belum dimodifikasi dari versi aslinya, tetapi tidak memvalidasi sumbernya. + Tidak menandatangani perangkat lunak, kode, atau pustaka Anda sendiri, meskipun hanya digunakan dalam deployment Anda sendiri.  **Manfaat menerapkan praktik terbaik ini:** Memvalidasi integritas artefak yang bergantung pada beban kerja Anda akan membantu Anda dalam mencegah malware memasuki lingkungan komputasi Anda.  Menandatangani perangkat lunak Anda akan membantu melindungi dari eksekusi yang tidak sah di lingkungan komputasi Anda.   Amankan rantai pasokan perangkat lunak Anda dengan menandatangani dan memverifikasi kodenya. **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang ## Panduan implementasi Panduan implementasi Citra sistem operasi, citra kontainer, dan artefak kode sering kali didistribusikan dengan pemeriksaan integritas yang tersedia, seperti melalui digest atau hash.  Hal ini memungkinkan klien untuk memverifikasi integritas dengan melakukan komputasi hash atas payload mereka sendiri dan memastikan itu sama dengan yang dipublikasikan.  *Meskipun pemeriksaan ini membantu Anda untuk memverifikasi bahwa muatan belum dirusak, namun pemeriksaan tersebut tidak memvalidasi muatan yang berasal dari sumber aslinya (asalnya*).  Verifikasi asal-usul mengharuskan adanya sertifikat yang dikeluarkan oleh otoritas tepercaya untuk menandatangani artefaknya secara digital. Jika Anda menggunakan sebuah perangkat lunak atau artefak unduhan dalam beban kerja Anda, periksa apakah penyedianya menyediakan kunci publik untuk verifikasi tanda tangan digital.  Berikut ini adalah beberapa contoh cara AWS menyediakan kunci publik dan instruksi verifikasi untuk perangkat lunak yang kami publikasikan: + [EC2Image Builder: Verifikasi tanda tangan unduhan AWS TOE instalasi](https://docs.aws.amazon.com/imagebuilder/latest/userguide/awstoe-verify-sig.html) + [AWS Systems Manager: Memverifikasi tanda tangan SSM Agen](https://docs.aws.amazon.com/systems-manager/latest/userguide/verify-agent-signature.html) + [Amazon CloudWatch: Memverifikasi tanda tangan paket CloudWatch agen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/verify-CloudWatch-Agent-Package-Signature.html) Masukkan verifikasi tanda tangan digital ke dalam proses yang Anda gunakan untuk memperoleh dan mengeraskan gambar, seperti yang dibahas dalam [SEC06-BP02 Komputasi ketentuan](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_hardened_images.html) dari gambar yang diperkeras. Anda dapat menggunakannya [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) untuk membantu Anda mengelola verifikasi tanda tangan, serta siklus hidup penandatanganan kode Anda sendiri untuk perangkat lunak dan artefak Anda sendiri.  Keduanya, [AWS Lambda](https://aws.amazon.com/lambda/) dan [Amazon Elastic Container Registry](https://aws.amazon.com/ecr/) menyediakan integrasi dengan Signer untuk memverifikasi tanda tangan kode dan image Anda.  Menggunakan contoh di bagian Sumber Daya, Anda dapat menerapkan Signer ke dalam pipeline integrasi dan pengiriman berkelanjutan (CI/CD) untuk mengotomatiskan verifikasi tanda tangan serta penandatanganan kode dan image Anda sendiri. ## Sumber daya Sumber daya **Dokumen terkait:** + [Penandatanganan Kriptografi untuk Kontainer](https://aws.amazon.com/blogs/containers/cryptographic-signing-for-containers/) + [Praktik Terbaik untuk membantu mengamankan pipeline build image container Anda dengan menggunakan AWS Signer](https://aws.amazon.com/blogs/security/best-practices-to-help-secure-your-container-image-build-pipeline-by-using-aws-signer/) + [Mengumumkan Penandatanganan Gambar Kontainer dengan AWS Signer dan Amazon EKS](https://aws.amazon.com/blogs/containers/announcing-container-image-signing-with-aws-signer-and-amazon-eks/) + [Mengkonfigurasi penandatanganan kode untuk AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-codesigning.html) + [Praktik-praktik terbaik dan pola lanjutan untuk penandatanganan kode Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/) + [Penandatanganan kode menggunakan CA AWS Certificate Manager Pribadi dan kunci AWS Key Management Service asimetris](https://aws.amazon.com/blogs/security/code-signing-aws-certificate-manager-private-ca-aws-key-management-service-asymmetric-keys/) **Contoh terkait:** + [Otomatiskan penandatanganan kode Lambda dengan Amazon dan CodeCatalyst AWS Signer](https://aws.amazon.com/blogs/devops/automate-lambda-code-signing-with-amazon-codecatalyst-and-aws-signer/) + [Menandatangani dan Memvalidasi OCI Artefak dengan AWS Signer](https://aws.amazon.com/blogs/containers/signing-and-validating-oci-artifacts-with-aws-signer/) **Alat terkait:** + [AWS Lambda](https://aws.amazon.com/lambda/) + [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) + [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/) + [AWS Key Management Service](https://aws.amazon.com/kms/) + [AWS CodeArtifact](https://aws.amazon.com/codeartifact/)