अच्छी सुरक्षा प्रथाओं की नींव आपके संगठन से शुरू होती है।
एक सुरक्षा और गोपनीयता टीम बनाएं
एक समर्पित सुरक्षा और गोपनीयता टीम बनाएं और इस संगठन के लिए एक नेता स्थापित करें।
- एक सुरक्षा दल बनाएं.
- सुनिश्चित करें कि कम से कम एक कर्मचारी सुरक्षा, गोपनीयता और घटना प्रतिक्रिया के लिए ज़िम्मेदार है।
- इस टीम के लिए एक मिशन और दायरा परिभाषित करें।
- सुरक्षा प्रबंधक, सुरक्षा इंजीनियर, घटना प्रबंधक के लिए एक संगठन चार्ट और नौकरी विवरण विकसित करें।
- इन भूमिकाओं को भरने के लिए कर्मचारियों या बाहरी ठेकेदारों को नियुक्त करें।
- सुरक्षा विकास जीवनचक्र (एसडीएल) को परिभाषित करें । आपके एसडीएल में ये क्षेत्र शामिल होने चाहिए:
- उत्पादों के लिए सुरक्षा आवश्यकताएँ.
- जोखिम विश्लेषण और खतरा मॉडलिंग।
- अनुप्रयोगों और कोड का स्थिर और गतिशील विश्लेषण ।
- उत्पादों के लिए अंतिम सुरक्षा समीक्षा प्रक्रियाएँ।
- घटना की प्रतिक्रिया।
- संगठनात्मक जोखिम का आकलन करें . जोखिम मूल्यांकन बनाएं और उन जोखिमों को खत्म करने या कम करने के लिए योजनाएं विकसित करें।
सत्यापन प्रक्रिया बनाएँ
अपने मौजूदा आंतरिक निर्माण सत्यापन और अनुमोदन प्रक्रियाओं में अंतराल का मूल्यांकन करें।
- अपनी वर्तमान बिल्ड सत्यापन प्रक्रिया में किसी भी अंतराल की पहचान करें जो आपके निर्माण में संभावित रूप से हानिकारक एप्लिकेशन (पीएचए) की शुरूआत का कारण बन सकता है।
- सुनिश्चित करें कि आपके पास कोड समीक्षा और अनुमोदन प्रक्रिया है, यहां तक कि AOSP के इन-हाउस पैच के लिए भी।
- इन क्षेत्रों में नियंत्रण लागू करके निर्माण अखंडता में सुधार करें:
- रास्ता बदलता है । ट्रैक सॉफ़्टवेयर इंजीनियर; परिवर्तन लॉग रखें.
- जोखिम का आकलन करें . किसी ऐप द्वारा उपयोग की गई अनुमतियों का आकलन करें; कोड परिवर्तनों की मैन्युअल समीक्षा की आवश्यकता है।
- निगरानी करना । विशेषाधिकार प्राप्त कोड में किए गए परिवर्तनों का मूल्यांकन करें।
स्रोत कोड परिवर्तन ट्रैकिंग
स्रोत कोड या तृतीय-पक्ष ऐप्स/बायनेरिज़/एसडीके के अनजाने संशोधनों की निगरानी करें।
- साझेदारी का आकलन करें . निम्नलिखित चरणों का उपयोग करके तकनीकी भागीदार के साथ काम करने के जोखिम का आकलन करें:
- किसी विशिष्ट आपूर्तिकर्ता के साथ काम करने के जोखिम का आकलन कैसे करें, इसके लिए मानदंड स्थापित करें।
- एक फॉर्म बनाएं जो आपूर्तिकर्ता से पूछे कि वे घटनाओं को कैसे हल करते हैं और सुरक्षा और गोपनीयता का प्रबंधन कैसे करते हैं।
- समय-समय पर ऑडिट के साथ उनके दावों की पुष्टि करें।
- रास्ता बदलता है । रिकॉर्ड करें कि कौन सी कंपनियां और कर्मचारी स्रोत कोड को संशोधित करते हैं और केवल उचित परिवर्तन सुनिश्चित करने के लिए समय-समय पर ऑडिट करते हैं।
- अभिलेख रखना । रिकॉर्ड करें कि कौन सी कंपनियां आपके निर्माण में तृतीय-पक्ष बायनेरिज़ जोड़ती हैं और दस्तावेज़ करती हैं कि वे ऐप्स क्या कार्य करते हैं और वे कौन सा डेटा एकत्र करते हैं।
- योजना अद्यतन . सुनिश्चित करें कि आपके आपूर्तिकर्ताओं को आपके उत्पाद के पूर्ण जीवन के लिए सॉफ़्टवेयर अपडेट प्रदान करना आवश्यक है। अप्रत्याशित कमजोरियों को दूर करने के लिए विक्रेताओं से समर्थन की आवश्यकता हो सकती है।
स्रोत कोड की अखंडता और वंशावली को सत्यापित करें
मूल डिवाइस निर्माता (ओडीएम), ओवर-द-एयर अपडेट (ओटीए), या वाहक द्वारा आपूर्ति किए गए स्रोत कोड का निरीक्षण और सत्यापन करें।
- प्रमाणपत्रों पर हस्ताक्षर करने का प्रबंधन करें .
- कुंजियों को हार्डवेयर सुरक्षा मॉड्यूल (एचएसएम) या सुरक्षित क्लाउड सेवा में संग्रहीत करें (उन्हें साझा न करें)।
- सुनिश्चित करें कि हस्ताक्षरित प्रमाणपत्रों तक पहुंच नियंत्रित और लेखापरीक्षित है।
- आपके बिल्ड सिस्टम में सभी कोड हस्ताक्षर आवश्यक हैं।
- खोई हुई कुंजियाँ निरस्त करें.
- सर्वोत्तम प्रथाओं का उपयोग करके कुंजियाँ उत्पन्न करें।
- नये कोड का विश्लेषण करें . नई कमजोरियों की जांच के लिए सुरक्षा कोड विश्लेषण टूल के साथ नए जोड़े गए कोड का परीक्षण करें। इसके अलावा, नई कमजोरियों की अभिव्यक्ति का पता लगाने के लिए समग्र कार्यक्षमता का विश्लेषण करें।
- प्रकाशन से पहले समीक्षा करें . उत्पादन में डालने से पहले स्रोत कोड और तृतीय-पक्ष ऐप्स में सुरक्षा कमजोरियों को देखें। उदाहरण के लिए:
- सुरक्षित संचार का उपयोग करने के लिए ऐप्स की आवश्यकता है।
- कम से कम विशेषाधिकार के सिद्धांत का पालन करें और ऐप को संचालित करने के लिए आवश्यक अनुमतियों का न्यूनतम सेट प्रदान करें।
- सुनिश्चित करें कि डेटा सुरक्षित चैनलों पर संग्रहीत और स्थानांतरित किया गया है।
- सेवा निर्भरताएँ अद्यतन रखें.
- एसडीके और ओपन सोर्स लाइब्रेरी में सुरक्षा पैच लागू करें।
घटना की प्रतिक्रिया
एंड्रॉइड मुद्दों को ढूंढने में मदद करने के लिए एक मजबूत सुरक्षा समुदाय की शक्ति में विश्वास करता है। आपको डिवाइस-विशिष्ट सुरक्षा मुद्दों के बारे में बाहरी पक्षों के लिए आपसे संपर्क करने का एक तरीका बनाना और प्रचारित करना चाहिए।
- संपर्क स्थापित करें . अपने उत्पाद ( उदाहरण ) से जुड़े संभावित सुरक्षा मुद्दों की रिपोर्ट करने के लिए स्पष्ट निर्देशों के साथ एक ईमेल पता बनाएं, जैसे कि Security@ your-company .com या एक वेबसाइट।
- एक भेद्यता पुरस्कार कार्यक्रम (वीआरपी) स्थापित करें । वैध सबमिशन के लिए मौद्रिक पुरस्कार की पेशकश करके बाहरी सुरक्षा शोधकर्ताओं को आपके उत्पादों को प्रभावित करने वाली सुरक्षा भेद्यता रिपोर्ट सबमिट करने के लिए प्रोत्साहित करें ( उदाहरण )। हम शोधकर्ताओं को उद्योग प्रतिस्पर्धी पुरस्कारों से पुरस्कृत करने की सलाह देते हैं, जैसे गंभीर गंभीरता की कमजोरियों के लिए $5,000 और उच्च गंभीरता की कमजोरियों के लिए $2,500।
- अपस्ट्रीम में परिवर्तन में योगदान करें । यदि आपको एंड्रॉइड प्लेटफ़ॉर्म या कई डिवाइस निर्माताओं के उपकरणों को प्रभावित करने वाली किसी सुरक्षा समस्या के बारे में पता चलता है, तो सुरक्षा बग रिपोर्ट दर्ज करके एंड्रॉइड सुरक्षा टीम से संपर्क करें।
- अच्छी सुरक्षा प्रथाओं को बढ़ावा दें . आपके उपकरणों के लिए सेवाएँ, घटक और/या कोड प्रदान करने वाले हार्डवेयर और सॉफ़्टवेयर विक्रेताओं की सुरक्षा प्रथाओं का सक्रिय रूप से आकलन करें। अच्छी सुरक्षा स्थिति बनाए रखने के लिए विक्रेताओं को जवाबदेह बनाएं।