সাংগঠনিক এবং অপারেশনাল নিরাপত্তা

আপনার প্রতিষ্ঠানে ভাল নিরাপত্তা অনুশীলনের ভিত্তি শুরু হয়।

একটি নিরাপত্তা এবং গোপনীয়তা দল তৈরি করুন

একটি নিবেদিত নিরাপত্তা এবং গোপনীয়তা দল তৈরি করুন এবং এই সংস্থার জন্য একজন নেতা প্রতিষ্ঠা করুন৷

  • একটি নিরাপত্তা দল তৈরি করুন।
    • নিরাপত্তা, গোপনীয়তা এবং ঘটনার প্রতিক্রিয়ার জন্য কমপক্ষে একজন কর্মচারী দায়ী তা নিশ্চিত করুন।
    • এই দলের জন্য একটি মিশন এবং সুযোগ সংজ্ঞায়িত করুন।
    • এর জন্য একটি প্রতিষ্ঠানের চার্ট এবং কাজের বিবরণ তৈরি করুন: সিকিউরিটি ম্যানেজার, সিকিউরিটি ইঞ্জিনিয়ার, ইনসিডেন্ট ম্যানেজার।
    • এই ভূমিকাগুলি পূরণ করতে কর্মচারী বা বহিরাগত ঠিকাদার নিয়োগ করুন।
  • একটি নিরাপত্তা উন্নয়ন জীবনচক্র (SDL) সংজ্ঞায়িত করুন । আপনার SDL এই ক্ষেত্রগুলিকে কভার করবে:
    • পণ্য জন্য নিরাপত্তা প্রয়োজনীয়তা.
    • ঝুঁকি বিশ্লেষণ এবং হুমকি মডেলিং.
    • অ্যাপ্লিকেশন এবং কোডের স্ট্যাটিক এবং গতিশীল বিশ্লেষণ
    • পণ্যের জন্য চূড়ান্ত নিরাপত্তা পর্যালোচনা প্রক্রিয়া।
    • ঘটনার প্রতিক্রিয়া.
  • সাংগঠনিক ঝুঁকি মূল্যায়ন . একটি ঝুঁকি মূল্যায়ন তৈরি করুন এবং সেই ঝুঁকিগুলি দূর করতে বা হ্রাস করার পরিকল্পনা তৈরি করুন।

যাচাইকরণ প্রক্রিয়া তৈরি করুন

আপনার বিদ্যমান অভ্যন্তরীণ বিল্ড যাচাইকরণ এবং অনুমোদন প্রক্রিয়ার ফাঁক মূল্যায়ন করুন।

  • আপনার বর্তমান বিল্ড যাচাইকরণ প্রক্রিয়ার কোনো ফাঁক শনাক্ত করুন যা আপনার বিল্ডে একটি সম্ভাব্য ক্ষতিকারক অ্যাপ্লিকেশন (PHA) প্রবর্তনের দিকে নিয়ে যেতে পারে।
  • নিশ্চিত করুন যে আপনার কাছে একটি কোড পর্যালোচনা এবং অনুমোদনের প্রক্রিয়া রয়েছে, এমনকি AOSP- তে ইন-হাউস প্যাচগুলির জন্যও।
  • এই ক্ষেত্রগুলিতে নিয়ন্ত্রণগুলি প্রয়োগ করে বিল্ড অখণ্ডতা উন্নত করুন:
    • গতিপথের পরিবর্তন . সফটওয়্যার ইঞ্জিনিয়ারদের ট্র্যাক করুন; পরিবর্তন লগ রাখুন.
    • ঝুঁকি মূল্যায়ন . একটি অ্যাপ্লিকেশন দ্বারা ব্যবহৃত অনুমতি মূল্যায়ন; কোড পরিবর্তন ম্যানুয়াল পর্যালোচনা প্রয়োজন.
    • মনিটর । বিশেষাধিকারপ্রাপ্ত কোডে করা পরিবর্তনগুলি মূল্যায়ন করুন।

সোর্স কোড পরিবর্তন ট্র্যাকিং

সোর্স কোড বা থার্ড-পার্টি অ্যাপস/বাইনারী/SDK-এর অনিচ্ছাকৃত পরিবর্তনের জন্য মনিটর করুন।

  • অংশীদারিত্ব মূল্যায়ন . নিম্নলিখিত পদক্ষেপগুলি ব্যবহার করে প্রযুক্তিগত অংশীদারের সাথে কাজ করার ঝুঁকি মূল্যায়ন করুন:
    • একটি নির্দিষ্ট সরবরাহকারীর সাথে কাজ করার ঝুঁকি কীভাবে মূল্যায়ন করা যায় তার জন্য মানদণ্ড স্থাপন করুন।
    • একটি ফর্ম তৈরি করুন যা সরবরাহকারীকে জিজ্ঞাসা করে যে তারা কীভাবে ঘটনাগুলি সমাধান করে এবং নিরাপত্তা এবং গোপনীয়তা পরিচালনা করে।
    • পর্যায়ক্রমিক নিরীক্ষার মাধ্যমে তাদের দাবি যাচাই করুন।
  • গতিপথের পরিবর্তন . কোন কোম্পানি এবং কর্মচারীরা সোর্স কোড পরিবর্তন করে তা রেকর্ড করুন এবং শুধুমাত্র উপযুক্ত পরিবর্তনগুলি নিশ্চিত করতে পর্যায়ক্রমিক অডিট পরিচালনা করুন।
  • দলিল রাখা . কোন কোম্পানিগুলি আপনার বিল্ডে তৃতীয় পক্ষের বাইনারি যোগ করে তা রেকর্ড করুন এবং সেই অ্যাপগুলি কী কাজ করে এবং তারা কী ডেটা সংগ্রহ করে তা নথিভুক্ত করুন।
  • পরিকল্পনা আপডেট . নিশ্চিত করুন যে আপনার সরবরাহকারীদের আপনার পণ্যের সম্পূর্ণ জীবনের জন্য সফ্টওয়্যার আপডেট প্রদান করতে হবে। অপ্রত্যাশিত দুর্বলতাগুলির সমাধানের জন্য বিক্রেতাদের কাছ থেকে সহায়তার প্রয়োজন হতে পারে।

সোর্স কোডের অখণ্ডতা এবং বংশতালিকা যাচাই করুন

একটি আসল ডিভাইস প্রস্তুতকারক (ODM), ওভার-দ্য-এয়ার আপডেট (OTA), বা ক্যারিয়ার দ্বারা সরবরাহ করা সোর্স কোড পরিদর্শন এবং যাচাই করুন।

  • স্বাক্ষরিত শংসাপত্র পরিচালনা করুন
    • একটি হার্ডওয়্যার নিরাপত্তা মডিউল (এইচএসএম) বা সুরক্ষিত ক্লাউড পরিষেবাতে কী সংরক্ষণ করুন (সেগুলি ভাগ করবেন না)।
    • সাইনিং সার্টিফিকেটের অ্যাক্সেস নিয়ন্ত্রিত এবং নিরীক্ষিত নিশ্চিত করুন।
    • আপনার বিল্ড সিস্টেমে সমস্ত কোড সাইনিং করা প্রয়োজন।
    • হারানো চাবি প্রত্যাহার করুন.
    • সেরা অনুশীলন ব্যবহার করে কী তৈরি করুন।
  • নতুন কোড বিশ্লেষণ করুন । নিরাপত্তা কোড বিশ্লেষণ সরঞ্জামগুলির সাথে নতুন যোগ করা কোড পরীক্ষা করুন নতুন দুর্বলতাগুলির প্রবর্তনের জন্য পরীক্ষা করুন৷ উপরন্তু, নতুন দুর্বলতার অভিব্যক্তি সনাক্ত করতে সামগ্রিক কার্যকারিতা বিশ্লেষণ করুন।
  • প্রকাশের আগে পর্যালোচনা করুন । সোর্স কোড এবং থার্ড-পার্টি অ্যাপ্লিকেশানগুলিকে প্রোডাকশনে ঠেলে দেওয়ার আগে নিরাপত্তার দুর্বলতাগুলি সন্ধান করুন৷ উদাহরণ স্বরূপ:
    • সুরক্ষিত যোগাযোগ ব্যবহার করার জন্য অ্যাপের প্রয়োজন।
    • ন্যূনতম বিশেষাধিকারের নীতি অনুসরণ করুন এবং অ্যাপটি চালানোর জন্য প্রয়োজনীয় ন্যূনতম সেট অনুমতি দিন।
    • নিশ্চিত করুন যে ডেটা সংরক্ষণ করা হয়েছে এবং নিরাপদ চ্যানেলে স্থানান্তর করা হয়েছে।
    • পরিষেবা নির্ভরতা আপ টু ডেট রাখুন।
    • SDK এবং ওপেন সোর্স লাইব্রেরিতে নিরাপত্তা প্যাচ প্রয়োগ করুন।

ঘটনার প্রতিক্রিয়া

সমস্যাগুলি খুঁজে পেতে সহায়তা করার জন্য Android একটি শক্তিশালী নিরাপত্তা সম্প্রদায়ের শক্তিতে বিশ্বাস করে৷ ডিভাইস-নির্দিষ্ট নিরাপত্তা সমস্যাগুলির বিষয়ে আপনার সাথে যোগাযোগ করার জন্য বহিরাগত দলগুলির জন্য আপনার একটি উপায় তৈরি এবং প্রচার করা উচিত।

  • যোগাযোগ স্থাপন করুন । একটি ইমেল ঠিকানা তৈরি করুন, যেমন security@ your-company .com বা আপনার পণ্যের সাথে সম্পর্কিত সম্ভাব্য নিরাপত্তা সমস্যাগুলি রিপোর্ট করার জন্য স্পষ্ট নির্দেশাবলী সহ একটি ওয়েবসাইট ( উদাহরণ )।
  • একটি ভালনারবিটি রিওয়ার্ডস প্রোগ্রাম (ভিআরপি) প্রতিষ্ঠা করুন । বৈধ জমা দেওয়ার জন্য আর্থিক পুরষ্কার দেওয়ার মাধ্যমে আপনার পণ্যগুলিকে প্রভাবিত করে এমন সুরক্ষা দুর্বলতার প্রতিবেদন জমা দিতে বহিরাগত সুরক্ষা গবেষকদের উত্সাহিত করুন ( উদাহরণ )। আমরা গবেষকদের শিল্প প্রতিযোগিতামূলক পুরস্কারের সাথে পুরস্কৃত করার সুপারিশ করি, যেমন গুরুতর তীব্রতার দুর্বলতার জন্য $5,000 এবং উচ্চ তীব্রতার দুর্বলতার জন্য $2,500।
  • আপস্ট্রিম পরিবর্তন অবদান . আপনি যদি একাধিক ডিভাইস নির্মাতাদের থেকে Android প্ল্যাটফর্ম বা ডিভাইসগুলিকে প্রভাবিত করে এমন একটি নিরাপত্তা সমস্যা সম্পর্কে সচেতন হন, তাহলে একটি নিরাপত্তা বাগ রিপোর্ট ফাইল করে Android নিরাপত্তা দলের সাথে যোগাযোগ করুন৷
  • ভাল নিরাপত্তা অনুশীলন প্রচার করুন . আপনার ডিভাইসের জন্য পরিষেবা, উপাদান এবং/অথবা কোড প্রদানকারী হার্ডওয়্যার এবং সফ্টওয়্যার বিক্রেতাদের নিরাপত্তা অনুশীলনগুলি সক্রিয়ভাবে মূল্যায়ন করুন। একটি ভাল নিরাপত্তা ভঙ্গি বজায় রাখার জন্য বিক্রেতাদের দায়বদ্ধ রাখুন।