為什麼需要 Code Signing?

應對日益複雜的物聯網供應鏈攻擊

攻擊路徑 (Threat)

  • 韌體竄改: 駭客植入惡意後門,控制大量終端裝置。
  • 非法量產: 供應鏈或產線環節遭濫用,導致市面上出現未授權克隆產品。
  • OTA 劫持: 偽造系統更新包,誘導裝置下載未經授權之軟體。

CodeSign 防禦點 (Control)

  • 來源驗證: 僅接受經授權私鑰簽署的韌體與更新包。
  • 產線邊界: 金鑰存於 HSM,透過受控 API 簽章,降低外洩與濫用風險。
  • 完整性校驗: 啟動/更新時驗證數位簽章,確保程式碼未被更動。

研發流程合規:CI/CD 也要納入信任邊界

多數企業的簽章私鑰曾長期存放在 CI Server 或工程師環境,形成「供應鏈內生風險」。Ciot 透過 HSM + KMS 將私鑰自 CI/CD 移出並集中治理,讓簽章成為 Pipeline 的強制關卡(Policy Gate), 同時具備可稽核、可追溯、可輪替的治理能力。

CodeSign × Secure Boot × Root of Trust

建立從硬體端出發的完整信任鏈(Chain of Trust),每一個階段的驗證,皆仰賴經過嚴謹簽署的軟體映像檔。

全景協助客戶在 MCU、SoC 與終端裝置上,建立可被長期驗證與管理的軟體信任基礎。裝置啟動時,由 Root of Trust(如 Boot ROM)起點逐層驗證後續程式碼。若缺乏可治理的 Code Signing 機制,Secure Boot 將無法真正落實。

了解 HSM 整合 了解 KMS 系統

生產線 Code Signing 架構

將「信任」延伸至產線,避免供應鏈成為資安破口(Factory as a Trust Boundary)

全景架構支援生產線導向的安全簽章模式,可依需求部署於開發端或最終組裝階段。透過 KMS 與 HSM 進行金鑰隔離與存取控管,確保私鑰不因產線作業而外洩。

  • 金鑰不落地: 簽章私鑰存放於 HSM,不存於產線設備。
  • 授權 API: 製造站台僅能透過授權 API 進行簽章請求。
  • 追蹤與稽核: 每一次簽章行為皆可審計追蹤,降低植入惡意韌體風險。
了解 IC Programming 安全整合

產線站台

API Gateway

HSM / KMS

分散式生產 × 中心化金鑰治理 × 全程可稽核

HSM + KMS CodeSign 整合 CI/CD 流程

最大優勢是可無痛整合既有 CI/CD,把私鑰從 CI Server 搬到 HSM,並由 KMS 做集中管理與稽核,讓研發流程天然符合合規要求

為什麼 CI/CD 是關鍵風險點?

  • 簽章私鑰存放在 CI Server / Runner / Build VM,可能被竊取、複製與離線濫用。
  • 缺乏「強制政策」時,非授權分支或人員仍可能產出可發布的簽章映像。
  • 稽核時難以完整回答:誰簽的、簽了什麼、用哪把 key、對應哪個版本與工單。

Ciot 解法:HSM 保護私鑰,KMS 管理治理

HSM:Key never leaves
私鑰全程留在 HSM 邊界內,CI/CD 只透過受控介面觸發簽章。
KMS:Policy & Audit
權限、審批、簽章策略、稽核軌跡與輪替政策集中管理,降低人為風險。
  • 整合既有 CI/CD: Jenkins / GitLab CI / GitHub Actions / Azure DevOps 等皆可透過 API/Plugin 模式導入。
  • 把 Key 從 CI Server 移出: CI 只拿短期 Token / 受控憑證,不持有私鑰與長期密鑰檔案。
  • 簽章變成合規關卡: 在 Release 前強制執行 Policy Gate,避免未授權版本被發布。

CI/CD Code Signing Governance Pipeline Steps

工控 / OT 長生命週期治理

因應 10–20 年設備使用年限的安全設計

憑證與簽章治理

整合 CLM(憑證生命週期管理),處理展期、撤銷與輪替,支援長期維運需求並降低人工風險。

了解 CLM 方案
加密敏捷性(Crypto-Agility)

支援演算法平滑升級,預留 PQC(後量子加密)遷移路徑,確保長期防禦力與合規彈性。

了解 PQC 技術
穩定性相容驗證

針對舊版韌體與既有設備提供相容驗證策略,避免安全升級造成工控系統非預期中斷,維持營運穩定。




應用情境與案例

為各類開發、生產與營運場景提供安全基石

DevOps / SecOps

整合 CI/CD,把私鑰從 CI Server 移出到 HSM,並由 KMS 治理稽核

OTA 安全更新

更新包簽章、來源驗證與防竄改

MCU / SoC Signing

對應晶片商 Secure Boot 規範

通訊與工控設備

支持 IEC 與網通資安要求

相容性與整合清單

支援之半導體平台
對齊主流 MCU/SoC 之 Secure Boot 規範與簽章格式;可依專案需求整合各平台 Signing Tool 與封裝流程。
支援 Embedded OS(RTOS / Embedded Linux)核心與應用層韌體簽章與驗證;可與 OTA 平台流程整合。 對於 Matter 等生態系,可延伸支援 Secure OTA / Firmware Image Signing 與驗證流程,並可依需求整合 DAC/PKI 架構。
了解 HSM 金鑰保護

國際合規與標準對齊

協助企業因應供應鏈安全與產品資安門檻

標準 / 規範 Code Signing 對應項目 實現目標與效益
IEC 62443-4-2 Software Integrity & Authenticity 確保工控組件之軟體來源可驗證與完整性,降低非法更新與竄改風險。
EU CRA(延伸參考) Secure Development / Update Integrity 建立可稽核的簽章與更新治理流程,支援長期維護與供應鏈風險控管。
NIST FIPS 140-3(HSM 選配) Cryptographic Key Protection / Key Custody 搭配符合要求之 HSM 與治理設計,提升金鑰保護強度並滿足稽核需求。
Secure SDLC / 供應鏈治理(延伸) CI/CD Signing Gate / Release Traceability 將簽章納入 Pipeline 強制關卡,確保版本發布可追溯、可稽核,降低內生供應鏈風險。

為何選擇全景軟體?

Key never leaves HSM

私鑰於簽章流程中維持在 HSM 安全邊界內,降低外洩與濫用風險,確保密鑰主權與可稽核性。

API / 自動化治理

具備高可用 API 介面,可直接嵌入既有 CI/CD 與產線流程,將簽章變成強制的政策關卡(Policy Gate),並保留完整稽核軌跡。

量產與 OT 場景實務

針對量產與長期維運情境提供可治理設計(稽核、輪替、撤銷、相容驗證),協助方案可落地且可持續運作。

建立您裝置的數位信任根

全景軟體顧問團隊將協助您評估現有研發與產線流程,規劃最符合國際標準的 Code Signing 治理架構(HSM / KMS / CLM),並提供 CI/CD 整合導入建議與落地方法

預約專家顧問