اعتبارًا من 27 آذار (مارس) 2025، ننصحك باستخدام android-latest-release بدلاً من aosp-main لإنشاء AOSP والمساهمة فيه. لمزيد من المعلومات، يُرجى الاطّلاع على التغييرات في AOSP.

تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

الأمان المؤسّسي والتشغيلي
تنظيم صفحاتك في مجموعات يمكنك حفظ المحتوى وتصنيفه حسب إعداداتك المفضّلة.

تبدأ أساسيات ممارسات الأمان الجيدة في مؤسستك.

إنشاء فريق أمان وخصوصية

أنشئ فريقًا مخصّصًا للأمان والخصوصية وحدِّد قائدًا لهذا التنظيم.

إنشاء فريق أمان:
- تأكَّد من أنّ هناك موظفًا واحدًا على الأقل مسؤولاً عن الأمان والخصوصية والاستجابة للحوادث.
- حدِّد مهمة ونطاقًا لهذا الفريق.
- أنشئ مخطّطًا تنظيميًا وأوصافًا وظيفية لكلّ من: مدير الأمان، مهندس الأمان، ومدير الحوادث.
- توظيف موظفين أو مقاولين خارجيين لملء هذه الأدوار
تحديد دورة تطوير الأمان (SDL) يجب أن يغطي نموذج SDL الجوانب التالية:
- متطلبات الأمان للمنتجات
- تحليل المخاطر ونماذج التهديدات
- تحليل static and dynamic للتطبيقات والرموز البرمجية
- عمليات المراجعة النهائية للأمان في المنتجات
- الاستجابة للحوادث
تقييم المخاطر التنظيمية: أنشئ تقييمًا للمخاطر وضع خطط للقضاء على هذه المخاطر أو التخفيف منها

عملية إثبات صحة المعلومات

تقييم الفجوات في عمليات التحقّق من الإصدارات الداخلية والموافقة عليها

حدِّد أي ثغرات في عملية التحقّق الحالية من الإصدار التي قد تؤدي إلى إدخال تطبيق قد يتسبّب بضرر (PHA) في الإصدار.
تأكَّد من أنّ لديك عملية مراجعة للرمز البرمجي والموافقة عليه، حتى بالنسبة إلى التصحيحات التي يتم إجراؤها داخليًا على AOSP.
يمكنك تحسين سلامة الإصدار من خلال تنفيذ عناصر التحكّم في الجوانب التالية:
- تتبُّع التغييرات تتبُّع مهندسي البرامج، والاحتفاظ بسجلّات التغييرات
- تقييم المخاطر: تقييم الأذونات التي يستخدمها التطبيق طلب مراجعة التغييرات في الرموز يدويًا
- التتبّع: تقييم التغييرات التي تم إجراؤها على الرمز المميّز

تتبُّع تغييرات الرمز المصدر

تتبُّع التعديلات غير المقصودة على رمز المصدر أو التطبيقات&hairsp;/&hairsp;النُسخ الثنائية&hairsp;/&hairsp;حِزم تطوير البرامج (SDK) التابعة لجهات خارجية

تقييم الشراكات: تقييم مخاطر العمل مع شريك تقني باستخدام الخطوات التالية:
- وضع معايير لكيفية تقييم مخاطر العمل مع مورّد معيّن
- أنشئ نموذجًا يسأل المورّد عن كيفية حلّه للمشاكل و إدارة الأمان والخصوصية.
- التحقّق من صحة المطالبات من خلال إجراء تدقيق دوري
تتبُّع التغييرات سجِّل الشركات والموظفين الذين يُعدِّلون الرمز المصدر، ونفِّذ عمليات تدقيق دورية لضمان إجراء التغييرات المناسبة فقط.
الاحتفاظ بالسجلات سجِّل الشركات التي تضيف ملفَي برمجة ثنائيَّين تابعَين لجهة خارجية إلى الإصدار، واوثِّق الوظيفة التي تؤديها هذه التطبيقات والبيانات التي تجمعها.
تعديلات الخطة: تأكَّد من أنّه يُطلب من المورّدين تقديم تحديثات البرامج طوال فترة استخدام المنتج. قد تتطلّب نقاط الضعف غير المتوقّعة الحصول على دعم من المورّدين لحلّها.

التحقّق من سلامة رمز المصدر وسلسلة الإحالة

فحص الرمز المصدر المقدَّم من الشركة المصنّعة الأصلية للجهاز (ODM) أو التحديث عبر الهواء (OTA) أو مشغّل شبكة الجوّال والتحقّق منه

إدارة شهادات التوقيع
- تخزين المفاتيح في وحدة أمان للأجهزة (HSM) أو خدمة سحابة إلكترونية آمنة (عدم مشاركتها)
- تأكَّد من التحكّم في إمكانية الوصول إلى شهادات التوقيع وتدقيقها.
- اشترِط أن يتم تنفيذ جميع عمليات توقيع الرموز البرمجية في نظام الإنشاء.
- إبطال المفاتيح المفقودة
- أنشئ مفاتيح باستخدام أفضل الممارسات.
تحليل الرمز الجديد اختبِر الرمز المُضاف حديثًا باستخدام أدوات تحليل رمز برمجي الأمان للتحقّق من ظهور ثغرات أمنية جديدة. بالإضافة إلى ذلك، يمكنك تحليل الوظائف العامة لرصد تعبير عن نقاط ضعف جديدة.
مراجعة الدبلجة قبل نشرها ابحث عن ثغرات أمنية في رمز المصدر والتطبيقات التابعة لجهات خارجية قبل طرحها في قناة الإصدار العلني. على سبيل المثال:
- اشترِط على التطبيقات استخدام اتصالات آمنة.
- اتّبِع مبدأ الحدّ الأدنى من الأذونات المميّزة وامنح الحدّ الأدنى من مجموعة الأذونات اللازمة لتشغيل التطبيق.
- تأكَّد من تخزين البيانات ونقلها عبر قنوات آمنة.
- يجب إبقاء تبعيات الخدمة محدّثة.
- طبِّق رموز تصحيح الأمان على حِزم تطوير البرامج (SDK) والمكتبات المفتوحة المصدر.

الاستجابة للحوادث

تؤمن منصة Android بأهمية منتدى أمان قوي للمساعدة في العثور على المشاكل. يجب إنشاء طريقة للجهات الخارجية للتواصل معك إعلاميًا بشأن المشاكل المتعلّقة بالأمان على الجهاز.

إنشاء اتصال أنشئ عنوان بريد إلكتروني، مثل security@your-company.com أو موقعًا إلكترونيًا يتضمّن تعليمات واضحة للإبلاغ عن المشاكل الأمنية المحتمَلة المرتبطة بمنتجك (مثال).
إنشاء برنامج مكافآت للمبلّغين عن الثغرات الأمنية (VRP): يمكنك تشجيع باحثي الأمان الخارجيين على إرسال تقارير عن الثغرات الأمنية التي تؤثر في منتجاتك من خلال منحهم مكافآت مالية مقابل التقارير الصالحة (مثال). ننصحك بمكافأة الباحثين بمكافآت تضاهي مكافآت المجال، مثل 5,000 دولار أمريكي مقابل الثغرات ذات الخطورة القصوى و2,500 دولار أمريكي مقابل الثغرات ذات الخطورة العالية.
المساهمة في التغييرات في الإصدار العلني إذا رصدت مشكلة أمنية تؤثر في نظام Android الأساسي أو في أجهزة من عدة شركات تصنيع أجهزة، يُرجى التواصل مع فريق أمان Android من خلال إرسال تقرير عن خلل أمني.
تعزيز الممارسات الأمنية الجيدة تقييم ممارسات الأمان بشكل استباقي لدى مورّدي الأجهزة والبرامج الذين يوفّرون الخدمات و/أو المكونات و/أو الرموز البرمجية لأجهزةك تحميل المورّدين مسؤولية الحفاظ على مستوى أمان جيد