軟體代碼開發需要開發者投入大量精力和人力物力,但您的軟體代碼釋出到網際網路上後可能會發生各種狀況,軟體代碼可能受到黑客攻擊、病毒感染或任何方式的篡改,也可能因為“釋出者身份未知”的系統警告吓跑使用者。而使用者要找到安全可靠的軟體程式也并不容易,在網際網路上下載下傳Java程式、插件、ActiveX控件或其他可執行檔案時,無法了解軟體釋出者的真實身份資訊,也無從得知這些軟體包有沒有被篡改,甚至植入病毒木馬,這使得使用者在運作代碼程式時承擔了較大的安全風險。
代碼簽名機制是基于PKI技術的成熟機制,幫助開發者和最終使用者建立安全信任的軟體釋出環境和使用環境。代碼簽名證書是由權威CA機構認證開發者身份後頒發,提供給軟體開發者對其開發的軟體代碼進行數字簽名,附上可信身份證明并保護代碼完整性,防止軟體代碼被仿冒或篡改。使用者下載下傳軟體時,作業系統或浏覽器可通過數字簽名驗證軟體代碼來源可信,且沒有被非法篡改或植入病毒木馬,保護使用者不會被病毒、惡意代碼和間諜軟體所侵害。
較新的作業系統和浏覽器都設定較進階别的網絡安全政策,要求應用程式、驅動程式和軟體程式添加數字簽名。例如,Internet Explorer 利用 Authenticode 技術來識别簽名軟體的釋出者,并确認它沒有被篡改;Windows使用者帳戶控制(UAC)會對任何互動式應用程式強制執行數字簽名檢查。
當使用者從某網站下載下傳代碼簽名檔案時,系統可以從檔案中提驗證書,通過證書頒發機構的信任清單、頒發機構資訊通路 (AIA) 檢查等途徑驗證證書中的簽名,每個證書均要進行各種相關參數的有效性驗證,如名稱、時間、簽名、吊銷狀态以及其他限制。如果簽名軟體以任何方式被篡改,則會破壞數字簽名,作業系統或浏覽器會提醒使用者代碼已修改且不再可信。
沃通代碼簽名證書,根證書預置在作業系統和浏覽器的受信任清單以及大部分裝置和應用程式中,無縫實作簽名代碼驗證和信任。根據驗證等級和功能不同。代碼簽名證書分為機關代碼簽名證書和EV代碼簽名證書。
兩類代碼簽名證書都需要驗證軟體開發機構的機關真實身份,都支援多用途的普通代碼簽名,但沃通EV代碼簽名證書需要遵循更加嚴格的擴充驗證标準,并采用更安全的私鑰存儲方式( USB Key硬體存儲),也具備更豐富的應用功能,EV代碼簽名證書支援Windows硬體認證(即徽标認證),可以用它建立Windows硬體開發人員中心儀表闆賬号,并支援在Windows SmartScreen篩選器中快速建立信譽,讓程式流暢運作。
對于程式開發者或軟體釋出者而言,在激烈的軟體市場競争中,軟體代碼就是您的聲譽,如果您的軟體版本受到黑客攻擊、病毒感染或以任何方式發生篡改,将遭受系統攔截、清除,損害使用者對軟體的信任和使用軟體的信心,對軟體代碼帶來緻命打擊。利用代碼簽名證書保護軟體代碼安全、建立軟體信譽,是軟體代碼釋出前必須做到的重要工作。