این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

امنیت سازمانی و عملیاتی

پایه و اساس شیوه های امنیتی خوب در سازمان شما شروع می شود.

یک تیم امنیت و حریم خصوصی ایجاد کنید

یک تیم اختصاصی امنیتی و حفظ حریم خصوصی ایجاد کنید و یک رهبر برای این سازمان ایجاد کنید.

یک تیم امنیتی بسازید.
- اطمینان حاصل کنید که حداقل یک کارمند مسئول امنیت، حفظ حریم خصوصی و واکنش به حادثه است.
- برای این تیم یک ماموریت و محدوده تعریف کنید.
- یک نمودار سازمانی و شرح شغل برای: مدیر امنیت، مهندس امنیت، مدیر حوادث ایجاد کنید.
- برای ایفای این نقش ها، کارمندان یا پیمانکاران خارجی را استخدام کنید.
چرخه حیات توسعه امنیت (SDL) را تعریف کنید . SDL شما باید این حوزه ها را پوشش دهد:
- الزامات امنیتی برای محصولات
- تحلیل ریسک و مدل سازی تهدید
- تجزیه و تحلیل استاتیک و پویا برنامه ها و کد.
- فرآیندهای بررسی امنیتی نهایی برای محصولات
- پاسخ حادثه.
ارزیابی ریسک سازمانی یک ارزیابی ریسک ایجاد کنید و برنامه هایی برای حذف یا کاهش آن خطرات ایجاد کنید.

فرآیند تأیید ساخت

شکاف‌های موجود در فرآیندهای تأیید ساخت داخلی و تأیید را ارزیابی کنید.

هر شکافی را در فرآیند تأیید ساخت فعلی خود که می تواند منجر به معرفی یک برنامه بالقوه مضر (PHA) در ساخت شما شود، شناسایی کنید.
مطمئن شوید که فرآیند بررسی و تأیید کد را دارید، حتی برای وصله‌های داخلی AOSP .
بهبود یکپارچگی ساخت با اجرای کنترل ها در این زمینه ها:
- تغییرات مسیر . مهندسین نرم افزار را پیگیری کنید. گزارش تغییرات را نگه دارید
- ریسک را ارزیابی کنید . ارزیابی مجوزهای استفاده شده توسط یک برنامه؛ نیاز به بررسی دستی تغییرات کد دارد.
- مانیتور . تغییرات ایجاد شده در کد ممتاز را ارزیابی کنید.

ردیابی تغییر کد منبع

برای تغییرات ناخواسته کد منبع یا برنامه های شخص ثالث / باینری ها / SDK ها نظارت کنید.

مشارکت ها را ارزیابی کنید . ریسک کار با یک شریک فنی را با استفاده از مراحل زیر ارزیابی کنید:
- معیارهایی را برای چگونگی ارزیابی ریسک کار با یک تامین کننده خاص تعیین کنید.
- فرمی ایجاد کنید که از تامین کننده بپرسد چگونه حوادث را حل کرده و امنیت و حریم خصوصی را مدیریت می کند.
- ادعاهای آنها را با حسابرسی دوره ای تأیید کنید.
تغییرات مسیر . ثبت کنید که کدام شرکت‌ها و کارمندان کد منبع را تغییر می‌دهند و ممیزی‌های دوره‌ای را انجام می‌دهند تا مطمئن شوید که فقط تغییرات مناسب انجام می‌شود.
سوابق را نگه دارید . شرکت‌هایی را که باینری‌های شخص ثالث را به ساخت شما اضافه می‌کنند، ثبت کنید و مستند کنید که این برنامه‌ها چه عملکردی دارند و چه داده‌هایی را جمع‌آوری می‌کنند.
به روز رسانی برنامه ریزی کنید . اطمینان حاصل کنید که تامین کنندگان شما ملزم به ارائه به روز رسانی نرم افزار برای طول عمر کامل محصول شما هستند. آسیب‌پذیری‌های پیش‌بینی‌نشده ممکن است نیاز به پشتیبانی فروشندگان داشته باشند تا برطرف شوند.

یکپارچگی کد منبع و شجره نامه را تأیید کنید

کد منبع ارائه شده توسط سازنده اصلی دستگاه (ODM)، به‌روزرسانی هوایی (OTA) یا شرکت مخابراتی را بررسی و تأیید کنید.

گواهی های امضا را مدیریت کنید
- کلیدها را در یک ماژول امنیتی سخت افزاری (HSM) یا سرویس ابری ایمن (آنها را به اشتراک نگذارید) ذخیره کنید.
- اطمینان حاصل کنید که دسترسی به گواهی های امضا کنترل و ممیزی می شود.
- لازم است تمام امضای کد در سیستم ساخت شما انجام شود.
- کلیدهای گم شده را باطل کنید.
- کلیدها را با استفاده از بهترین شیوه ها تولید کنید.
کدهای جدید را تحلیل کنید کدهای جدید اضافه شده را با ابزارهای تجزیه و تحلیل کد امنیتی آزمایش کنید تا آسیب پذیری های جدید را بررسی کنید. علاوه بر این، عملکرد کلی را برای شناسایی بیان آسیب‌پذیری‌های جدید تجزیه و تحلیل کنید.
قبل از انتشار مرور کنید . قبل از اینکه آنها را وارد مرحله تولید کنید، به دنبال آسیب پذیری های امنیتی در کد منبع و برنامه های شخص ثالث باشید. مثلا:
- برنامه ها را ملزم به استفاده از ارتباطات ایمن کنید.
- از اصل کمترین امتیاز پیروی کنید و حداقل مجموعه مجوزهای لازم برای عملکرد برنامه را اعطا کنید.
- اطمینان حاصل کنید که داده ها از طریق کانال های امن ذخیره و منتقل می شوند.
- وابستگی های سرویس را به روز نگه دارید.
- وصله های امنیتی را روی SDK ها و کتابخانه های منبع باز اعمال کنید.

پاسخ حادثه

اندروید به قدرت یک جامعه امنیتی قوی برای کمک به یافتن مشکلات اعتقاد دارد. شما باید راهی ایجاد کنید و آن را به اشتراک بگذارید تا طرف های خارجی در مورد مسائل امنیتی دستگاه با شما تماس بگیرند.

ارتباط برقرار کنید . یک آدرس ایمیل، مانند security@ your-company .com یا یک وب‌سایت با دستورالعمل‌های واضح برای گزارش مشکلات امنیتی احتمالی مرتبط با محصول خود ایجاد کنید ( مثال ).
یک برنامه پاداش آسیب پذیری (VRP) ایجاد کنید . با ارائه پاداش‌های پولی برای ارسال‌های معتبر، محققان امنیتی خارجی را تشویق کنید تا گزارش‌های آسیب‌پذیری امنیتی را که بر محصولات شما تأثیر می‌گذارد، ارسال کنند. ما به محققان توصیه می‌کنیم که پاداش‌های رقابتی در صنعت، مانند 5000 دلار برای آسیب‌پذیری‌های با شدت بحرانی و 2500 دلار برای آسیب‌پذیری‌های با شدت بالا به پژوهشگران اهدا شود.
کمک به تغییرات بالادست . اگر متوجه یک مشکل امنیتی شدید که بر پلتفرم Android یا دستگاه‌های چند سازنده دستگاه تأثیر می‌گذارد، با ارسال یک گزارش اشکال امنیتی با تیم امنیتی Android تماس بگیرید.
اقدامات امنیتی خوب را ترویج کنید . اقدامات امنیتی فروشنده‌های سخت‌افزار و نرم‌افزاری را که خدمات، اجزا و/یا کد دستگاه‌های شما را ارائه می‌کنند، ارزیابی کنید. فروشندگان را برای حفظ وضعیت امنیتی خوب مسئول نگه دارید.