تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

الأمن التنظيمي والتشغيلي

يبدأ أساس الممارسات الأمنية الجيدة في مؤسستك.

إنشاء فريق الأمن والخصوصية

إنشاء فريق مخصص للأمان والخصوصية وإنشاء قائد لهذه المنظمة.

بناء فريق أمني.
- تأكد من أن موظفًا واحدًا على الأقل مسؤول عن الأمان والخصوصية والاستجابة للحوادث.
- تحديد مهمة ونطاق هذا الفريق.
- قم بتطوير مخطط هيكلي وتوصيف وظيفي لكل من: مدير الأمن، مهندس الأمن، مدير الحوادث.
- قم بتعيين موظفين أو مقاولين خارجيين لشغل هذه الأدوار.
تحديد دورة حياة تطوير الأمان (SDL) . يجب أن تغطي SDL الخاصة بك هذه المجالات:
- المتطلبات الأمنية للمنتجات.
- تحليل المخاطر ونمذجة التهديدات.
- التحليل الثابت والديناميكي للتطبيقات والتعليمات البرمجية.
- عمليات المراجعة الأمنية النهائية للمنتجات.
- الاستجابة للحادث.
تقييم المخاطر التنظيمية . إنشاء تقييم للمخاطر ووضع خطط للقضاء على تلك المخاطر أو التخفيف منها.

بناء عملية التحقق

قم بتقييم الفجوات في عمليات التحقق والموافقة على البناء الداخلي الحالية لديك.

حدد أي ثغرات في عملية التحقق من الإصدار الحالي لديك والتي قد تؤدي إلى إدخال تطبيق يحتمل أن يكون ضارًا (PHA) في الإصدار الخاص بك.
تأكد من حصولك على عملية مراجعة التعليمات البرمجية والموافقة عليها، حتى بالنسبة للتصحيحات الداخلية لـ AOSP .
تحسين سلامة البناء من خلال تطبيق الضوابط في هذه المجالات:
- تعقب التغيرات . تتبع مهندسي البرمجيات. الاحتفاظ بسجلات التغيير.
- تقييم المخاطر . تقييم الأذونات التي يستخدمها التطبيق؛ تتطلب مراجعة يدوية لتغييرات التعليمات البرمجية.
- شاشة . تقييم التغييرات التي تم إجراؤها على التعليمات البرمجية المميزة.

تتبع تغيير كود المصدر

مراقبة التعديلات غير المقصودة على التعليمات البرمجية المصدر أو تطبيقات الطرف الثالث/الثنائيات/حزم SDK.

تقييم الشراكات . قم بتقييم مخاطر العمل مع شريك فني باستخدام الخطوات التالية:
- وضع معايير لكيفية تقييم مخاطر العمل مع مورد معين.
- قم بإنشاء نموذج يسأل المورد عن كيفية حل الحوادث وإدارة الأمان والخصوصية.
- التحقق من مطالباتهم من خلال التدقيق الدوري.
تعقب التغيرات . قم بتسجيل الشركات والموظفين الذين يقومون بتعديل كود المصدر وإجراء عمليات تدقيق دورية لضمان حدوث التغييرات المناسبة فقط.
احتفظ السجلات . سجل الشركات التي تضيف ثنائيات الجهات الخارجية إلى جهازك وقم بتوثيق الوظيفة التي تؤديها هذه التطبيقات والبيانات التي تجمعها.
تحديثات الخطة . تأكد من مطالبة الموردين لديك بتوفير تحديثات البرامج طوال عمر منتجك. قد تتطلب الثغرات الأمنية غير المتوقعة دعمًا من الموردين لمعالجتها.

التحقق من سلامة التعليمات البرمجية المصدر والنسب

قم بفحص والتحقق من صحة كود المصدر المقدم من قبل الشركة المصنعة للجهاز الأصلي (ODM)، أو التحديث عبر الهواء (OTA)، أو شركة الاتصالات.

إدارة شهادات التوقيع .
- قم بتخزين المفاتيح في وحدة أمان الأجهزة (HSM) أو الخدمة السحابية الآمنة (لا تشاركها).
- التأكد من التحكم في الوصول إلى شهادات التوقيع وتدقيقها.
- تتطلب أن يتم توقيع جميع التعليمات البرمجية في نظام البناء الخاص بك.
- إبطال المفاتيح المفقودة.
- قم بإنشاء المفاتيح باستخدام أفضل الممارسات.
تحليل التعليمات البرمجية الجديدة . اختبر التعليمات البرمجية المضافة حديثًا باستخدام أدوات تحليل رمز الأمان للتحقق من وجود ثغرات أمنية جديدة. بالإضافة إلى ذلك، قم بتحليل الوظائف العامة لاكتشاف التعبير عن نقاط الضعف الجديدة.
المراجعة قبل النشر . ابحث عن الثغرات الأمنية في التعليمات البرمجية المصدر وتطبيقات الطرف الثالث قبل دفعها إلى الإنتاج. على سبيل المثال:
- مطالبة التطبيقات باستخدام اتصالات آمنة.
- اتبع مبدأ الامتيازات الأقل وامنح الحد الأدنى من الأذونات اللازمة لتشغيل التطبيق.
- التأكد من تخزين البيانات ونقلها عبر قنوات آمنة.
- حافظ على تحديث تبعيات الخدمة.
- قم بتطبيق تصحيحات الأمان على حزم SDK والمكتبات مفتوحة المصدر.

الاستجابة للحادث

يؤمن Android بقوة مجتمع الأمان القوي للمساعدة في العثور على المشكلات. يجب عليك إنشاء طريقة ونشرها للأطراف الخارجية للاتصال بك بشأن المشكلات الأمنية الخاصة بالجهاز.

اقامة اتصال . قم بإنشاء عنوان بريد إلكتروني، مثل Security@ your-company .com أو موقع ويب يحتوي على تعليمات واضحة للإبلاغ عن مشكلات الأمان المحتملة المرتبطة بمنتجك ( مثال ).
إنشاء برنامج مكافآت الثغرات الأمنية (VRP) . شجع الباحثين الأمنيين الخارجيين على تقديم تقارير عن الثغرات الأمنية التي تؤثر على منتجاتك من خلال تقديم مكافآت مالية مقابل عمليات الإرسال الصالحة ( على سبيل المثال ). نوصي بمكافأة الباحثين بمكافآت تنافسية في الصناعة، مثل 5000 دولار أمريكي للثغرات الحرجة و2500 دولار أمريكي للثغرات عالية الخطورة.
المساهمة في التغييرات المنبع . إذا أدركت وجود مشكلة أمنية تؤثر على النظام الأساسي أو الأجهزة التي تعمل بنظام Android من العديد من الشركات المصنعة للأجهزة، فاتصل بفريق أمان Android عن طريق تقديم تقرير خطأ أمني .
تعزيز الممارسات الأمنية الجيدة . قم بتقييم الممارسات الأمنية بشكل استباقي لموردي الأجهزة والبرامج الذين يقدمون الخدمات و/أو المكونات و/أو التعليمات البرمجية لأجهزتك. مساءلة البائعين عن الحفاظ على وضع أمني جيد.