हमारा सुझाव है कि 27 मार्च, 2025 से AOSP को बनाने और उसमें योगदान देने के लिए, aosp-main के बजाय android-latest-release का इस्तेमाल करें. ज़्यादा जानकारी के लिए, AOSP में हुए बदलाव लेख पढ़ें.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

संगठन और ऑपरेशनल सिक्योरिटी (सुरक्षा और रिस्क मैनेजमेंट से जुड़ी एक प्रोसेस)
संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

सुरक्षा के सही तरीकों की शुरुआत आपके संगठन से होती है.

सुरक्षा और निजता टीम बनाना

सुरक्षा और निजता से जुड़ी एक टीम बनाएं और इस संगठन के लिए एक लीडर तय करें.

सुरक्षा टीम बनाएं.
- पक्का करें कि कम से कम एक कर्मचारी सुरक्षा, निजता, और गतिविधि से जुड़ी समस्या के जवाब देने के लिए ज़िम्मेदार हो.
- इस टीम के लिए मिशन और स्कोप तय करें.
- सुरक्षा मैनेजर, सुरक्षा इंजीनियर, और इंसिडेंट मैनेजर के लिए, संगठन का चार्ट और नौकरी की जानकारी बनाएं.
- इन भूमिकाओं को पूरा करने के लिए, कर्मचारियों या बाहरी कॉन्ट्रैक्टर को काम पर रखें.
सुरक्षा डेवलपमेंट लाइफ़साइकल (एसडीएल) तय करें. आपके SDL में ये चीज़ें शामिल होनी चाहिए:
- प्रॉडक्ट के लिए सुरक्षा से जुड़ी ज़रूरी शर्तें.
- जोखिम का विश्लेषण और थ्रेट मॉडलिंग.
- ऐप्लिकेशन और कोड का स्टैटिक और डाइनैमिक विश्लेषण.
- प्रॉडक्ट के लिए, सुरक्षा की समीक्षा की आखिरी प्रोसेस.
- डेटा से जुड़े मामलों पर कार्रवाई.
संगठन के लिए जोखिम का आकलन करना. जोखिम का आकलन करें और उन जोखिमों को खत्म करने या कम करने के लिए प्लान बनाएं.

पुष्टि करने की प्रोसेस

अपने मौजूदा इंटरनल बिल्ड की पुष्टि और मंज़ूरी की प्रोसेस में मौजूद अंतर का आकलन करें.

अपने मौजूदा बिल्ड की पुष्टि करने की प्रोसेस में मौजूद उन गैप की पहचान करें जिनकी वजह से आपके बिल्ड में, नुकसान पहुंचाने वाले ऐप्लिकेशन (पीएचए) का इस्तेमाल किया जा सकता है.
पक्का करें कि आपके पास कोड की समीक्षा और मंज़ूरी देने की प्रोसेस हो. यह प्रोसेस, AOSP के लिए इन-हाउस पैच के लिए भी होनी चाहिए.
इन जगहों पर कंट्रोल लागू करके, बिल्ड की पूरी सुरक्षा को बेहतर बनाएं:
- बदलावों को ट्रैक करना. सॉफ़्टवेयर इंजीनियर को ट्रैक करना; बदलावों के लॉग को सेव करना.
- जोखिम का आकलन करें. किसी ऐप्लिकेशन के इस्तेमाल की गई अनुमतियों का आकलन करें; कोड में किए गए बदलावों की मैन्युअल समीक्षा की ज़रूरत होती है.
- निगरानी करें. खास सुविधाओं वाले कोड में किए गए बदलावों का आकलन करना.

सोर्स कोड में बदलाव ट्रैक करना

सोर्स कोड या तीसरे पक्ष के ऐप्लिकेशन&hairsp;/&hairsp;बाइनरी&hairsp;/&hairsp;SDK में अनजाने में किए गए बदलावों पर नज़र रखना.

पार्टनरशिप का आकलन करना. किसी तकनीकी पार्टनर के साथ काम करने के खतरे का आकलन करने के लिए, यह तरीका अपनाएं:
- किसी खास सप्लायर के साथ काम करने के जोखिम का आकलन करने के लिए, मानदंड तय करें.
- एक ऐसा फ़ॉर्म बनाएं जिसमें सप्लायर से पूछा गया हो कि वे समस्याओं को कैसे हल करते हैं और सुरक्षा और निजता को कैसे मैनेज करते हैं.
- समय-समय पर ऑडिट करके, उनके दावों की पुष्टि की जाती है.
बदलावों को ट्रैक करना. रिकॉर्ड करें कि कौनसी कंपनियां और कर्मचारी, सोर्स कोड में बदलाव करते हैं. साथ ही, समय-समय पर ऑडिट करें, ताकि यह पक्का किया जा सके कि सिर्फ़ सही बदलाव किए जा रहे हैं.
रिकॉर्ड रखें. रिकॉर्ड करें कि कौनसी कंपनियां आपके बिल्ड में तीसरे पक्ष के बिनर जोड़ती हैं. साथ ही, यह भी रिकॉर्ड करें कि वे ऐप्लिकेशन कौनसा फ़ंक्शन करते हैं और कौनसा डेटा इकट्ठा करते हैं.
प्लान से जुड़े अपडेट. पक्का करें कि आपके सप्लायर, आपके प्रॉडक्ट के पूरे जीवनकाल के लिए, सॉफ़्टवेयर अपडेट उपलब्ध कराते हों. अचानक होने वाली कमजोरियों को ठीक करने के लिए, वेंडर की मदद लेनी पड़ सकती है.

सोर्स कोड की पूरी सुरक्षा और पैतृक इतिहास की पुष्टि करना

डिवाइस बनाने वाली ओरिजनल कंपनी (ओडीएम), ओवर-द-एयर अपडेट (ओटीए) या मोबाइल और इंटरनेट सेवा देने वाली कंपनी से मिले सोर्स कोड की जांच करना और उसकी पुष्टि करना.

हस्ताक्षर करने के लिए इस्तेमाल होने वाले सर्टिफ़िकेट मैनेज करना.
- पासकोड को हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम) या सुरक्षित क्लाउड सेवा में सेव करें (उन्हें शेयर न करें).
- पक्का करें कि हस्ताक्षर करने के सर्टिफ़िकेट का ऐक्सेस कंट्रोल किया जा रहा हो और उसकी ऑडिट की जा रही हो.
- आपके बिल्ड सिस्टम में सभी कोड को साइन करना ज़रूरी है.
- खोई हुई कुंजियों को रद्द करना.
- सबसे सही तरीकों का इस्तेमाल करके कुंजियां जनरेट करें.
नए कोड का विश्लेषण करें. नए जोड़े गए कोड की जांच, कोड की सुरक्षा का विश्लेषण करने वाले टूल की मदद से करें. इससे, यह पता चलेगा कि कोई नई सुरक्षा से जुड़ी समस्या तो नहीं है. इसके अलावा, नई कमज़ोरियों का पता लगाने के लिए, पूरी सुविधा का विश्लेषण करें.
पब्लिश करने से पहले समीक्षा करें. सोर्स कोड और तीसरे पक्ष के ऐप्लिकेशन को प्रोडक्शन में भेजने से पहले, उनमें सुरक्षा से जुड़ी कमजोरियों का पता लगाएं. उदाहरण के लिए:
- ऐप्लिकेशन को सुरक्षित तरीके से कम्यूनिकेट करने की ज़रूरी शर्तें लागू करना.
- कम से कम अधिकारों के सिद्धांत का पालन करें और ऐप्लिकेशन के काम करने के लिए, कम से कम अनुमतियां दें.
- पक्का करें कि डेटा को सुरक्षित चैनलों पर सेव और ट्रांसफ़र किया जाए.
- सेवा की डिपेंडेंसी को अप-टू-डेट रखें.
- SDK टूल और ओपन सोर्स लाइब्रेरी में सुरक्षा पैच लागू करें.

डेटा से जुड़े मामलों पर कार्रवाई

Android का मानना है कि समस्याओं का पता लगाने के लिए, सुरक्षा से जुड़ी कम्यूनिटी की मदद लेनी चाहिए. आपको बाहरी पक्षों के लिए, डिवाइस से जुड़ी सुरक्षा से जुड़ी समस्याओं के बारे में आपसे संपर्क करने का तरीका बनाना चाहिए और उसे सार्वजनिक करना चाहिए.

संपर्क करें. अपने प्रॉडक्ट से जुड़ी सुरक्षा से जुड़ी संभावित समस्याओं की शिकायत करने के लिए, security@your-company.com जैसा कोई ईमेल पता या साफ़ निर्देशों वाली कोई वेबसाइट बनाएं (उदाहरण).
सुरक्षा से जुड़ी समस्याओं की जानकारी देने के लिए इनाम वाला प्रोग्राम (वीआरपी) शुरू करना. बाहरी सुरक्षा रिसर्चर को, आपके प्रॉडक्ट पर असर डालने वाली सुरक्षा से जुड़ी कमियों की रिपोर्ट सबमिट करने के लिए बढ़ावा दें. इसके लिए, मान्य सबमिशन के लिए इनाम के तौर पर पैसे दें (उदाहरण). हमारा सुझाव है कि आप शोधकर्ताओं को इंडस्ट्री में मौजूद अन्य कंपनियों के मुकाबले बेहतर इनाम दें. जैसे, गंभीर समस्याओं के लिए 5,000 डॉलर और ज़्यादा गंभीर समस्याओं के लिए 2,500 डॉलर.
अपने बदलावों को अपस्ट्रीम में योगदान दें. अगर आपको किसी ऐसी सुरक्षा से जुड़ी समस्या का पता चलता है जिसका असर Android प्लैटफ़ॉर्म या कई डिवाइस बनाने वाली कंपनियों के डिवाइसों पर पड़ रहा है, तो सुरक्षा से जुड़ी गड़बड़ी की शिकायत दर्ज करके, Android की सुरक्षा टीम से संपर्क करें.
सुरक्षा के सही तरीकों को बढ़ावा देना. अपने डिवाइसों के लिए सेवाएं, कॉम्पोनेंट, और/या कोड उपलब्ध कराने वाले हार्डवेयर और सॉफ़्टवेयर वेंडर के सुरक्षा उपायों का समय-समय पर आकलन करें. वेंडर को सुरक्षा के लिहाज़ से अच्छी स्थिति बनाए रखने के लिए जवाबदेह बनाएं.