Skip to main content

V10.3.1 Application Integrity

Requirement:#

Verify that if the application has a client or server auto-update feature, updates should be obtained over secure channels and digitally signed. The update code must validate the digital signature of the update before installing or executing the update.

Explanation:#

Функция автоматического обновления в клиент-серверном приложении позволяет автоматически устанавливать обновления на клиентские или серверные машины без ручного вмешательства. Это может быть удобно для обеспечения актуальности и безопасности программного обеспечения. Однако существуют риски безопасности, связанные с загрузкой обновлений через Интернет, например, возможность загрузки вредоносного обновления, которое может поставить под угрозу безопасность системы. 

Цифровая подпись создается с использованием закрытого ключа поставщика обновлений и может быть проверена с помощью соответствующего открытого ключа. Это гарантирует, что обновление не было подделано или изменено при передаче и что оно было выпущено надежным источником. Перед установкой или выполнением обновления код обновления должен проверить цифровую подпись, чтобы убедиться, что обновление является подлинным и не было изменено при передаче. Это помогает предотвратить установку вредоносных обновлений и помогает обеспечить безопасность и стабильность системы. Таким образом, когда клиент-серверное приложение имеет функцию автоматического обновления, важно получать обновления по безопасным каналам и проверять цифровую подпись обновления перед его установкой или выполнением. Это помогает обеспечить безопасность и стабильность системы и защищает от вредоносных обновлений.

Remediation:#

Исправление относится к процессу выявления и устранения уязвимостей или недостатков безопасности в системе или приложении. Когда речь идет о безопасности функций автоматического обновления в клиент-серверном приложении, можно предпринять следующие шаги по исправлению:

  • Внедрите безопасные каналы обновлений: убедитесь, что обновления получаются по безопасным каналам, таким как HTTPS, чтобы предотвратить подделку или прослушивание. Это помогает гарантировать, что обновление не было изменено при передаче и является подлинным.
  • Используйте цифровые подписи: Требуйте, чтобы обновления были подписаны цифровой подписью с использованием доверенного ключа. Это позволяет коду обновления проверять цифровую подпись и гарантировать, что обновление является подлинным и не было подделано.
  • Проверяйте обновления перед установкой: убедитесь, что код обновления проверяет цифровую подпись обновления перед его установкой или выполнением. Это помогает предотвратить установку вредоносных обновлений и обеспечивает безопасность и стабильность системы.
  • Мониторинг журналов обновлений. Регулярно проверяйте журналы на предмет любых необычных действий или ошибок, связанных с функцией автоматического обновления. Это может помочь обнаружить любые проблемы на ранней стадии и принять меры по исправлению положения до того, как они перерастут в более серьезную проблему.
  • Тестируйте обновления перед развертыванием: тестируйте обновления в контролируемой среде перед их развертыванием в рабочей среде. Это помогает гарантировать, что обновления работают должным образом и не вызывают непредвиденных проблем. 

Выполняя эти действия по исправлению, можно обеспечить безопасность и стабильность функции автоматического обновления в клиент-серверном приложении и защититься от вредоносных обновлений.

Additional:#

Edit this page