我正在开发一种产品,其中包括用于某些产品硬件的 3rd 方驱动程序。一些驱动程序未签名,其他驱动程序仅使用 sha1 证书进行签名。
鉴于从所有第 3 方获取新的 sha2 签名(或双签名)驱动程序将非常困难,如果不是不可能的话,我是否应该使用我公司的代码签名证书签署我拥有的驱动程序?
签署别人的代码有什么技术和法律含义?它是否不仅仅意味着“我们已经测试了这个版本的驱动程序并信任它”?
我应该签署别人的代码吗?
信息安全
合法的
代码签名
2021-09-08 20:52:45
1个回答
当您签署代码时,这意味着您保证该代码。当人们决定信任您的签名时,这意味着他们相信您只会在您验证代码可信之后才对代码进行签名。
当您滥用这种信任并且有人发现带有您签名的恶意软件时,您可以期望他们永远不会再次信任您的签名。当您的证书在任何操作系统或分发平台上具有特殊的信任状态时,如果维护人员注意到您使用它签署了恶意软件,您可以预期这种信任可能会被撤销。
因此,如果您决定签署第 3 方设备驱动程序,则只有在您认为可以全心全意为该驱动程序所做的任何事情负责时才应该这样做。如果您不能问心无愧地做到这一点,最好不要签名,让用户决定他们是否信任它。或者更好的是,找到一个更值得信赖的替代方案。
其它你可能感兴趣的问题