AXIS सुरक्षा विकास मोडेल सफ्टवेयर
परिचय
ASDM उद्देश्यहरू
एक्सिस सेक्युरिटी डेभलपमेन्ट मोडेल (एएसडीएम) एक ढाँचा हो जसले एक्सिसद्वारा सफ्टवेयर निर्माण गर्न प्रयोग गर्ने प्रक्रिया र उपकरणहरूलाई परिभाषित गर्दछ जुन जीवनचक्रमा स्थापनादेखि डिकमिसनसम्म बिल्ट-इन सुरक्षा भएको हुन्छ।
ASDM प्रयासहरू चलाउने प्राथमिक उद्देश्यहरू हुन्
- सफ्टवेयर सुरक्षालाई एक्सिस सफ्टवेयर विकास गतिविधिहरूको एकीकृत भाग बनाउनुहोस्।
- Axis ग्राहकहरूको लागि सुरक्षा सम्बन्धित व्यापार जोखिमहरू कम गर्नुहोस्।
- Meet increasing awareness of security considerations by customers and partners.
- प्रारम्भिक पत्ता लगाउने र समस्याहरूको समाधानको कारण लागत घटाउने सम्भावना सिर्जना गर्नुहोस्
ASDM स्कोप एक्सिस उत्पादनहरू र समाधानहरूमा समावेश गरिएको एक्सिस सफ्टवेयर हो। सफ्टवेयर सुरक्षा समूह (SSG) ASDM को मालिक र रखरखावकर्ता हो।
शब्दावली
| ASDM | अक्ष सुरक्षा विकास मोडेल |
| SSG | सफ्टवेयर सुरक्षा समूह |
| फर्मवेयर स्टीयरिङ समूह | आर एन्ड डी व्यवस्थापन |
| उपग्रह | सफ्टवेयर सुरक्षाको लागि प्राकृतिक आत्मीयता भएका विकासकर्ताहरू |
| जोखिम बोर्ड | बाह्य अन्वेषकहरूले भेट्टाएको कमजोरीहरूको सम्बन्धमा अक्ष सम्पर्क बिन्दु |
| बग बार | उत्पादन वा समाधानको लागि सुरक्षा लक्ष्य |
| DFD | डाटा प्रवाह रेखाचित्र |
ASDM सकियोview
ASDM ले प्रमुख विकास चरणहरूमा फैलिएका धेरै गतिविधिहरू समावेश गर्दछ। सुरक्षा गतिविधिहरू सामूहिक रूपमा ASDM को रूपमा चिनिन्छन्।
The SSG is responsible for governing the ASDM and evolving the toolbox over time. There is an ASDM roadmap and a rollout plan for implementing new activities and increasing ASDM maturity across the development organization. Both the roadmap and rollout plan are owned by the SSG, but the responsibility for actual implementation in practice (i.e., performing activities related to development phases) is delegated to the R&D teams.
सफ्टवेयर सुरक्षा समूह (SSG)
SSG सुरक्षा सम्बन्धी मुद्दाहरूको लागि विकास संगठनहरू तर्फ मुख्य आन्तरिक सम्पर्क संस्था हो। यसमा आवश्यकताहरू, डिजाइन, कार्यान्वयन, प्रमाणिकरण, जस्ता विकास क्षेत्रमा विशेषज्ञ सुरक्षा ज्ञान भएका सुरक्षा लीडहरू र अरूहरू समावेश हुन्छन्।
साथै क्रस-कार्यात्मक DevOps प्रक्रियाहरू।
विकास संगठनमा सुरक्षित विकास अभ्यासहरू र सुरक्षा जागरूकताको लागि ASDM को विकास र मर्मत सम्भारको लागि SSG जिम्मेवार छ।
उपग्रहहरू
स्याटेलाइटहरू विकास संगठनका सदस्यहरू हुन् जसले आफ्नो समयको एक भाग सफ्टवेयर सुरक्षा पक्षहरूसँग काम गर्दछ। उपग्रहहरू हुनुको कारणहरू निम्न हुन्:
- ठूलो केन्द्रीय SSG निर्माण नगरी ASDM मापन गर्नुहोस्
- विकास टोलीहरूको नजिक ASDM समर्थन प्रदान गर्नुहोस्
- ज्ञान आदानप्रदानलाई सहज बनाउनुहोस्, उदाहरणका लागि उत्तम अभ्यासहरू
एउटा स्याटेलाइटले नयाँ गतिविधिहरू लागू गर्न र विकास टोलीहरूको उपसमूहमा ASDM लाई कायम राख्न मद्दत गर्नेछ।
ASDM गतिविधि रोलआउट
विकास टोलीमा ASDM गतिविधि रोलआउटको रूपमा छtagएड प्रक्रिया:
- टोलीलाई भूमिका-विशिष्ट प्रशिक्षण मार्फत नयाँ गतिविधिमा परिचय गराइन्छ।
- SSG ले टोलीसँग मिलेर गतिविधि गर्नको लागि काम गर्दछ, उदाहरणका लागि, जोखिम मूल्याङ्कन वा खतरा मोडलिङ, टोलीद्वारा व्यवस्थित प्रणाली(हरू) को चयन गरिएका भागहरूका लागि।
- दैनिक काममा टुलबक्सलाई एकीकृत गर्ने सम्बन्धमा थप गतिविधिहरू टोली र उपग्रहलाई हस्तान्तरण गरिनेछ जब तिनीहरू प्रत्यक्ष SSG संलग्नता बिना स्वतन्त्र रूपमा काम गर्न तयार छन्। यस चरणमा, काम ASDM स्थिति मार्फत टोली प्रबन्धक द्वारा शासित छ।
परिमार्जित र/वा थपिएका गतिविधिहरूसँग ASDM को नयाँ संस्करणहरू उपलब्ध हुँदा रोलआउट दोहोर्याइएको छ। SSG ले टोलीसँग बिताएको समय गतिविधि र कोड जटिलतामा धेरै निर्भर हुन्छ। टोलीलाई सफल हस्तान्तरणको लागि एक प्रमुख कारक एम्बेडेड उपग्रहको अस्तित्व हो जसले टोलीसँग थप ASDM काम जारी राख्न सक्छ। SSG ले गतिविधि रोलआउटसँग समानान्तर रूपमा उपग्रहको सिकाइ र असाइनमेन्ट ड्राइभ गर्दछ।
तलको चित्रले रोलआउट पद्धतिको सारांश दिन्छ।
हस्तान्तरणको लागि "सम्पन्न" को SSG परिभाषा हो:
- भूमिका विशिष्ट प्रशिक्षण सम्पन्न
- स्याटेलाइट तोकियो
- टोली ASDM गतिविधि प्रदर्शन गर्न तयार छ
- आवर्ती ASDM स्थिति बैठकहरू स्थापना गरियो
SSG ले वरिष्ठ व्यवस्थापन तर्फ स्थिति रिपोर्टहरू जम्मा गर्न टोलीहरूबाट इनपुट प्रयोग गर्दछ।
अन्य SSG गतिविधिहरू
रोलआउट गतिविधिहरु संग समानांतर मा, SSG ले बृहत्तर सुरक्षा जागरूकता प्रशिक्षण गतिविधिहरु लाई लक्षित गर्दछ जस्तै, नयाँ कर्मचारीहरु र वरिष्ठ व्यवस्थापन। थप रूपमा, SSG ले समग्र / वास्तु जोखिम मूल्याङ्कन उद्देश्यका लागि अक्ष समाधानहरूको सुरक्षा ताप नक्सा राख्छ। विशिष्ट मोड्युलहरूको लागि सक्रिय सुरक्षा विश्लेषण गतिविधिहरू तातो नक्शामा आधारित हुन्छन्।
भूमिका र जिम्मेवारीहरू
तलको तालिकामा देखाइए अनुसार, त्यहाँ केही प्रमुख संस्थाहरू र भूमिकाहरू छन् जुन ASDM कार्यक्रमको अंश हुन्। तलको तालिकाले ASDM को सम्बन्धमा भूमिका र जिम्मेवारीहरूलाई संक्षेपमा प्रस्तुत गर्दछ।
| भूमिका/संस्था | को भाग | जिम्मेवारी | टिप्पणी गर्नुहोस् |
| सुरक्षा विशेषज्ञ | SSG | ASDM लाई नियन्त्रण गर्नुहोस्, टूलबक्सको विकास गर्नुहोस् र ASDM रोलआउट ड्राइभ गर्नुहोस् | SSG लाई 100% तोकिएको छ |
| उपग्रह | विकास रेखा | SSG लाई पहिलो पटक ASDM लागू गर्न मद्दत गर्नुहोस्, टोलीलाई प्रशिक्षक बनाउनुहोस्, तालिमहरू प्रदर्शन गर्नुहोस् र टोलीले SSG बाट स्वतन्त्र रूपमा दैनिक कामको भागको रूपमा टूलबक्स प्रयोग गर्न जारी राख्न सक्छ भनी सुनिश्चित गर्नुहोस्। क्रस-टीम जिम्मेवारी (धेरै टोलीहरू) उपग्रहहरूको कुल संख्या सीमित गर्न आवश्यक छ। | इच्छुक र संलग्न विकासकर्ताहरू, आर्किटेक्टहरू, प्रबन्धकहरू, परीक्षकहरू, र समान भूमिकाहरू जो सफ्टवेयर सुरक्षाको लागि प्राकृतिक आत्मीयता छ। उपग्रहहरूले आफ्नो समयको कम्तिमा 20% ASDM सम्बन्धित काममा तोकेका छन्। |
| प्रबन्धकहरू | विकास रेखा | ASDM अभ्यासहरूको कार्यान्वयनको लागि सुरक्षित स्रोतहरू। ड्राइभ ट्र्याकिङ र ASDM स्थिति र कभरेजमा रिपोर्टिङ। | विकास टोलीहरू ASDM कार्यान्वयनको स्वामित्वमा छन्, SSG को समर्थन स्रोतको रूपमा। |
| फर्मवेयर स्टीयरिङ ग्रुप (FW SG) | आर एन्ड डी व्यवस्थापन | सुरक्षा रणनीतिमा निर्णय गर्छ र मुख्य SSG रिपोर्टिङ च्यानलको रूपमा कार्य गर्दछ। | SSG ले FW SG लाई नियमित रूपमा रिपोर्ट गर्छ। |
ASDM शासन
सुशासन प्रणालीमा देहायका अंगहरू हुन्छन्:
- ASDM गतिविधिहरूलाई प्राथमिकता दिन मद्दत गर्न प्रणाली जोखिम तापम्याप
- प्रशिक्षण प्रयासहरूमा ध्यान केन्द्रित गर्न रोलआउट योजना र स्थिति
- टूलबक्सको विकास गर्न रोडम्याप
- संगठनमा ASDM गतिविधिहरू कत्तिको राम्ररी एकीकृत छन् मापन गर्नको लागि स्थिति
यसरी ASDM प्रणालीलाई रणनीतिक/कार्यकारी परिप्रेक्ष्यका साथै रणनीतिक/कार्यकारी दृष्टिकोणबाट पनि समर्थन गरिएको छ।
चित्रमा दाहिने हातमा रहेको कार्यकारी निर्देशनले एक्सिस व्यापार लक्ष्यहरू अनुरूप इष्टतम प्रभावकारिताको लागि संगठनलाई कसरी विकास गर्ने भन्नेमा केन्द्रित छ। यसका लागि एउटा महत्त्वपूर्ण इनपुट SSG द्वारा फर्मवेयर स्टीयरिङ समूह, CTO र उत्पादन व्यवस्थापन तर्फ गरिएको ASDM स्थिति रिपोर्टिङ हो।
ASDM स्थिति संरचना
ASDM स्थिति संरचनामा दुई परिप्रेक्ष्यहरू छन्: एउटा टोली केन्द्रित हाम्रो टोली र विभाग संरचनाको नक्कल गर्दै, र अर्को समाधान केन्द्रित हामीले बजारमा ल्याउने समाधानहरूमा केन्द्रित।
तलको चित्रले ASDM स्थिति संरचनालाई चित्रण गर्दछ।
टोली स्थिति
टोली स्थितिले यसको ASDM परिपक्वताको टोलीको आत्म-मूल्याङ्कन समावेश गर्दछ, तिनीहरूको सुरक्षा विश्लेषण गतिविधिहरूसँग सम्बन्धित मेट्रिक्सका साथै तिनीहरूका लागि जिम्मेवार कम्पोनेन्टहरूको सुरक्षा स्थितिको एकीकरण समावेश गर्दछ।
अक्षले ASDM परिपक्वतालाई टोलीले हाल प्रयोग गरिरहेको ASDM संस्करणको रूपमा परिभाषित गर्दछ। ASDM विकसित हुँदै गएकोले, हामीले ASDM संस्करणलाई परिभाषित गरेका छौं जहाँ ASDM को प्रत्येक संस्करणले गतिविधिहरूको एक अद्वितीय सेट समावेश गर्दछ। पूर्वका लागिample, ASDM को हाम्रो पहिलो संस्करण खतरा मोडलिङ मा केन्द्रित छ।
अक्षले निम्न ASDM संस्करणहरू परिभाषित गरेको छ:
| ASDM संस्करण | नयाँ गतिविधिहरू |
| ASDM 1.0 | जोखिम मूल्याङ्कन र खतरा मोडेलिङ |
| ASDM 2.0 | स्थिर कोड पुनview |
| ASDM 2.1 | डिजाइन द्वारा गोपनीयता |
| ASDM 2.2 | सफ्टवेयर संरचना विश्लेषण |
| ASDM 2.3 | बाह्य प्रवेश परीक्षण |
| ASDM 2.4 | भेद्यता स्क्यानिङ र फायर ड्रिल |
| ASDM 2.5 | उत्पादन/समाधान सुरक्षा स्थिति |
उनीहरूले कुन ASDM संस्करण प्रयोग गर्छन् भन्ने टोलीलाई स्वामित्व दिनुको मतलब यो लाइन प्रबन्धक हो जसले नयाँ ASDM संस्करणहरू अपनाउने जिम्मेवार छ। त्यसोभए सेटअपको सट्टा जहाँ SSG ले केन्द्रीय ASDM रोलआउट योजनालाई धक्का दिन्छ यो अब पुल-आधारित हुन्छ र प्रबन्धकहरूद्वारा नियन्त्रित हुन्छ।
कम्पोनेन्ट स्थिति
- हामीसँग कम्पोनेन्टको फराकिलो परिभाषा छ किनकि हामीले प्लेटफर्ममा लिनक्स राक्षसहरूदेखि लिएर सर्भर सफ्टवेयर मार्फत क्लाउड (माइक्रो) सेवाहरूमा सबै प्रकारका वास्तुकला संस्थाहरू कभर गर्न आवश्यक छ।
- प्रत्येक टोलीले आफ्नो वातावरण र वास्तुकलामा काम गर्ने एउटा अमूर्त स्तरको आफ्नै मन बनाउनुपर्छ। थम्बको नियमको रूपमा, टोलीहरूले नयाँ अमूर्त स्तर आविष्कार गर्नबाट जोगिनुपर्दछ र उनीहरूले आफ्नो दैनिक कार्यमा पहिले नै प्रयोग गरिरहनु भएको कुरा राख्नु पर्छ।
- विचार यो छ कि प्रत्येक टोली स्पष्ट हुनुपर्छ view तिनीहरूका सबै उच्च-जोखिम घटकहरू, जसमा नयाँ र लिगेसी कम्पोनेन्टहरू समावेश छन्। विरासत कम्पोनेन्टहरूमा यो बढेको चासोको लागि प्रेरणा समाधानहरूको लागि सुरक्षा स्थिति हेर्ने हाम्रो क्षमतासँग जोडिएको छ। समाधानको मामलामा, हामी समाधानको नयाँ र पुरानो सबै भागहरूको सुरक्षा स्थितिमा दृश्यता हुन चाहन्छौं।
- अभ्यासमा यसको अर्थ प्रत्येक टोलीले आफ्नो कम्पोनेन्टरीको सूची हेर्नुपर्छ र जोखिम मूल्याङ्कन गर्नुपर्छ।
- हामीले जान्न आवश्यक पर्ने पहिलो कुरा कम्पोनेन्टले सुरक्षा विश्लेषण गरेको छ कि छैन। यदि यो छैन भने, हामीलाई कम्पोनेन्टको सुरक्षा गुणस्तरको बारेमा साँच्चै केही थाहा छैन।
हामी यसलाई सम्पत्ति कभरेज भन्छौं र निम्न कभरेज स्तरहरू परिभाषित गरेका छौं:
| कभरेज | विवरण |
| विश्लेषण गरिएन | कम्पोनेन्ट अझै विश्लेषण गरिएको छैन |
| विश्लेषण जारी छ | कम्पोनेन्ट विश्लेषण भइरहेको छ |
| विश्लेषण गरियो | घटक विश्लेषण गरिएको छ |
हामीले कम्पोनेन्टको सुरक्षा गुणस्तर क्याप्चर गर्न प्रयोग गर्ने मेट्रिकहरू कम्पोनेन्टसँग जोडिएका ब्याकलगमा रहेका सुरक्षा कार्य वस्तुहरूमा आधारित हुन्छन्। यो काउन्टरमेजरहरू हुन सक्छ जुन लागू गरिएको छैन, परीक्षण केसहरू जुन कार्यान्वयन गरिएको छैन र सुरक्षा बगहरू जुन सम्बोधन गरिएको छैन।
समाधान स्थिति
समाधान स्थितिले समाधान बनाउने कम्पोनेन्टहरूको सेटको लागि सुरक्षा स्थिति एकत्रित गर्दछ।
समाधान स्थितिको पहिलो भाग घटकहरूको विश्लेषण कभरेज हो। यसले समाधान मालिकहरूलाई समाधानको सुरक्षा स्थिति थाहा छ वा छैन भने बुझ्न मद्दत गर्दछ। एक परिप्रेक्ष्यमा यसले अन्धा ठाउँहरू पहिचान गर्न मद्दत गर्दछ। समाधानको बाँकी स्थितिले समाधानको सुरक्षा गुणस्तर क्याप्चर गर्ने मेट्रिकहरू समावेश गर्दछ। हामी समाधानमा कम्पोनेन्टहरूसँग लिङ्क गरिएका सुरक्षा कार्य वस्तुहरू हेरेर गर्छौं। सुरक्षा स्थितिको एक महत्त्वपूर्ण पक्ष समाधान मालिकहरू द्वारा परिभाषित बग बार हो। समाधान मालिकहरूले उनीहरूको समाधानको लागि उपयुक्त सुरक्षा स्तर परिभाषित गर्नुपर्छ। पूर्वका लागिampले, यसको मतलब यो हो कि बजारमा जारी गर्दा समाधानमा कुनै उल्लेखनीय महत्वपूर्ण वा उच्च गम्भीरता कार्य वस्तुहरू खुला हुनु हुँदैन।
ASDM गतिविधिहरू
जोखिम मूल्याङ्कन
जोखिम मूल्याङ्कनको मुख्य उद्देश्य भनेको टोली भित्र सुरक्षा कार्य आवश्यक पर्ने विकास गतिविधिहरू फिल्टर गर्नु हो।
जोखिम मूल्याङ्कन कुनै नयाँ उत्पादन वा अवस्थित उत्पादनहरूमा थपिएको/परिमार्जित सुविधाले जोखिम एक्सपोजर बढाउँछ भने निर्णय गरेर गरिन्छ। नोट गर्नुहोस् कि यसले डेटा गोपनीयता पक्षहरू र अनुपालन आवश्यकताहरू पनि समावेश गर्दछ। उदाampजोखिम प्रभाव पार्ने परिवर्तनहरू नयाँ API, प्राधिकरण आवश्यकताहरूमा परिवर्तन, नयाँ मिडलवेयर, आदि हुन्।
डाटा गोपनीयता
विश्वास Axis को लागि मुख्य फोकस क्षेत्र हो र, जस्तै, हाम्रा उत्पादनहरू, समाधानहरू र सेवाहरूद्वारा सङ्कलन गरिएको निजी डेटासँग काम गर्दा उत्कृष्ट अभ्यासहरू पालना गर्नु महत्त्वपूर्ण छ।
डेटा गोपनीयतासँग सम्बन्धित अक्ष प्रयासहरूको दायरा परिभाषित गरिएको छ जसरी हामी गर्न सक्छौं:
- कानूनी दायित्वहरू पूरा गर्नुहोस्
- अनुबंधित दायित्वहरू पूरा गर्नुहोस्
- ग्राहकहरूलाई आफ्नो दायित्व पूरा गर्न मद्दत गर्नुहोस्
हामीले डाटा गोपनीयता गतिविधिलाई दुई उप-क्रियाकलापहरूमा विभाजन गर्छौं:
- डाटा गोपनीयता मूल्याङ्कन
- जोखिम मूल्याङ्कन समयमा गरियो
- यदि डेटा गोपनीयता विश्लेषण आवश्यक छ भने पहिचान गर्दछ
- डाटा गोपनीयता विश्लेषण
- सकियो, जब लागू हुन्छ, खतरा मोडलिङको समयमा
- व्यक्तिगत डाटा र व्यक्तिगत डाटामा खतराहरू पहिचान गर्दछ
- गोपनीयता आवश्यकताहरू परिभाषित गर्दछ
धम्की मोडलिङ
हामीले खतराहरू पहिचान गर्न सुरु गर्नु अघि, हामीले खतरा मोडेलको दायरा बारे निर्णय गर्न आवश्यक छ। दायरा व्यक्त गर्ने तरिका हामीले विचार गर्न आवश्यक आक्रमणकारीहरूको वर्णन गर्नु हो। यस दृष्टिकोणले हामीलाई विश्लेषणमा समावेश गर्नुपर्ने उच्च-स्तरको आक्रमण सतहहरू पहिचान गर्न पनि अनुमति दिनेछ।
- खतरा स्कोपिङको समयमा फोकस भनेको आक्रमणकारीहरू फेला पार्न र वर्गीकरण गर्ने हो जुन हामीले प्रणालीको उच्च-स्तरको विवरण प्रयोग गरेर ह्यान्डल गर्न चाहन्छौं। अधिमानतः विवरण डेटा प्रवाह रेखाचित्र (DFD) प्रयोग गरी गरिन्छ किनभने यसले खतरा मोडेल गर्दा प्रयोग हुने थप विस्तृत प्रयोग केस विवरणहरू सम्बन्धित गर्न सजिलो बनाउँछ।
- यसको मतलब यो होइन कि हामीले पहिचान गर्ने सबै आक्रमणकारीहरूलाई विचार गर्न आवश्यक छ, यसको मतलब यो हो कि हामी धम्की मोडेलमा सम्बोधन गर्ने आक्रमणकारीहरूमा स्पष्ट र एकरूप छौं। त्यसोभए, अनिवार्य रूपमा हामीले विचार गर्न छनौट गर्ने आक्रमणकारीहरूले हामीले मूल्याङ्कन गरिरहेका प्रणालीको सुरक्षा स्तर परिभाषित गर्नेछ।
ध्यान दिनुहोस् कि हाम्रो आक्रमणकर्ता विवरणले आक्रमणकारीको क्षमता वा प्रेरणामा कारक गर्दैन। हामीले खतरा मोडलिङलाई सकेसम्म सरल बनाउन र स्ट्रिमलाइन गर्न यो दृष्टिकोण रोजेका छौं।
थ्रेट मोडलिङमा तीनवटा चरणहरू छन् जुन टोलीले फिट देखेको रूपमा दोहोर्याउन सकिन्छ:
- DFDs को सेट प्रयोग गरेर प्रणालीको वर्णन गर्नुहोस्
- धम्कीहरू पहिचान गर्न र दुर्व्यवहार-केस शैलीमा तिनीहरूलाई वर्णन गर्न DFDs प्रयोग गर्नुहोस्
- 3. धम्कीहरूको लागि काउन्टरमेजर र प्रमाणीकरण परिभाषित गर्नुहोस्
खतरा मोडलिङ गतिविधिको नतिजा एक खतरा मोडेल हो जसमा प्राथमिकतामा राखिएको धम्की र प्रतिरोधी उपायहरू छन्। काउन्टरमेजरहरू सम्बोधन गर्न आवश्यक विकास कार्यहरू काउन्टरमेजरको कार्यान्वयन र प्रमाणीकरण दुवैको लागि जिरा टिकटहरू सिर्जना गरेर व्यवस्थित गरिन्छ।
स्थिर कोड विश्लेषण
ASDM मा, टोलीहरूले तीन तरिकामा स्थिर कोड विश्लेषण प्रयोग गर्न सक्छन्:
- विकासकर्ता कार्यप्रवाह: विकासकर्ताहरूले काम गरिरहेको कोडको विश्लेषण गर्छन्
- Gerrit कार्यप्रवाह: विकासकर्ताहरूले Gerrit मा प्रतिक्रिया पाउँछन्
- लिगेसी कार्यप्रवाह: टोलीहरूले उच्च जोखिम लिगेसी घटकहरू विश्लेषण गर्दछ
जोखिम स्क्यानिङ
नियमित भेद्यता स्क्यानिङले विकास टोलीहरूलाई उत्पादनहरू सार्वजनिक गर्न अघि सफ्टवेयर कमजोरीहरू पहिचान गर्न र प्याच गर्न अनुमति दिन्छ, जसले उत्पादन वा सेवाहरू प्रयोग गर्दा ग्राहकहरूको जोखिम कम गर्दछ। स्क्यानिङ प्रत्येक रिलीज हार्डवेयर, सफ्टवेयर) वा चलिरहेको तालिका (सेवाहरू) दुवै खुला स्रोत र व्यावसायिक जोखिम स्क्यानिङ प्याकेजहरू प्रयोग गर्नु अघि प्रदर्शन गरिन्छ। स्क्यानको नतिजा जिरा मुद्दा ट्र्याकिङ प्लेटफर्ममा टिकटहरू उत्पन्न गर्न प्रयोग गरिन्छ। टिकट एक विशेष दिइएको छ tag विकास टोलीहरू द्वारा भेद्यता स्क्यानबाट आएका रूपमा पहिचान गर्न योग्य हुन र उनीहरूलाई उच्च प्राथमिकता दिइनुपर्छ। सबै भेद्यता स्क्यानहरू र जिरा टिकटहरू ट्रेसिबिलिटी र अडिटिङ उद्देश्यका लागि केन्द्रीय रूपमा भण्डारण गरिएका छन्। अन्य, गैर-महत्वपूर्ण कमजोरीहरूको साथ जारी गर्नु अघि वा विशेष सेवा रिलीजमा गम्भीर कमजोरीहरू समाधान गरिनु पर्छ,
ट्र्याक र फर्मवेयर वा सफ्टवेयर रिलीज चक्र संग पङ्क्तिबद्ध मा समाधान। कमजोरीहरूलाई कसरी स्कोर र व्यवस्थित गरिन्छ भन्ने बारे थप जानकारीको लागि, पृष्ठ 12 मा जोखिम व्यवस्थापन हेर्नुहोस्।
बाह्य प्रवेश परीक्षण
चयन गरिएका केसहरूमा, तेस्रो-पक्ष प्रवेश परीक्षण एक्सिस हार्डवेयर वा सफ्टवेयर उत्पादनहरूमा गरिन्छ। यी परीक्षणहरू चलाउनुको मुख्य उद्देश्य एक विशेष समय बिन्दुमा र एक विशेष दायराको लागि प्लेटरमको सुरक्षाको सम्बन्धमा अन्तरदृष्टि र आश्वासन प्रदान गर्नु हो। ASDM सँग हाम्रो प्राथमिक लक्ष्यहरू मध्ये एक पारदर्शिता हो त्यसैले हामी हाम्रा ग्राहकहरूलाई हाम्रा उत्पादनहरूमा बाह्य प्रवेश परीक्षण गर्न प्रोत्साहित गर्छौं र परीक्षणका लागि उपयुक्त मापदण्डहरू परिभाषित गर्दा र परिणामहरूको व्याख्या गर्ने वरपर छलफल गर्दा हामी सहकार्य गर्न पाउँदा खुसी छौं।
जोखिम व्यवस्थापन
Axis, 2021 देखि, एक दर्ता CVE नामकरण प्राधिकरण (CNA) हो र त्यसैले तेस्रो-पक्ष जोखिम स्क्यानर र अन्य उपकरणहरू द्वारा खपतको लागि MITER डाटाबेसमा मानक CVE रिपोर्टहरू प्रकाशित गर्न सक्षम छ। भेद्यता बोर्ड (VB) बाह्य अनुसन्धानकर्ताहरूले पत्ता लगाएका कमजोरीहरूको लागि आन्तरिक अक्ष सम्पर्क बिन्दु हो। को रिपोर्टिङ
भेट्टाइएका कमजोरीहरू र त्यसपछिका समाधान योजनाहरू मार्फत सञ्चार गरिन्छ product-security@axis.com इमेल ठेगाना।
जोखिम बोर्डको मुख्य जिम्मेवारी व्यापार परिप्रेक्ष्यबाट रिपोर्ट गरिएको कमजोरीहरूको विश्लेषण र प्राथमिकतामा आधारित छ।
- SSG द्वारा प्रदान गरिएको प्राविधिक वर्गीकरण
- एक्सिस यन्त्र सञ्चालन हुने वातावरणमा अन्त प्रयोगकर्ताहरूको लागि सम्भावित जोखिम
- क्षतिपूर्ति सुरक्षा नियन्त्रणको उपलब्धता प्याचिंग बिना वैकल्पिक जोखिम न्यूनीकरण)
VB ले CVE नम्बर दर्ता गर्छ र रिपोर्टरसँग CVSS स्कोर प्रदान गर्न काम गर्छ। VB ले Axis सुरक्षा सूचना सेवा, प्रेस विज्ञप्ति, र समाचार लेखहरू मार्फत साझेदारहरू र ग्राहकहरूलाई बाह्य सञ्चार पनि चलाउँछ।
Axis Security Development Model © Axis Communications AB, 2022
कागजातहरू / स्रोतहरू
 | सुरक्षा विकास मोडेल सफ्टवेयर |
सन्दर्भहरू
- प्रयोगकर्ता पुस्तिकाmanual.tools