27 Mart 2025'ten itibaren AOSP'yi derlemek ve AOSP'ye katkıda bulunmak için aosp-main yerine android-latest-release kullanmanızı öneririz. Daha fazla bilgi için AOSP'de yapılan değişiklikler başlıklı makaleyi inceleyin.

Bu sayfa, Cloud Translation API ile çevrilmiştir.

Kurumsal ve operasyonel güvenlik
Koleksiyonlar ile düzeninizi koruyun İçeriği tercihlerinize göre kaydedin ve kategorilere ayırın.

İyi güvenlik uygulamalarının temeli kuruluşunuzda başlar.

Güvenlik ve gizlilik ekibi oluşturma

Özel bir güvenlik ve gizlilik ekibi oluşturun ve bu ekip için bir lider atayın.

Güvenlik ekibi oluşturun.
- Güvenlik, gizlilik ve olaya müdahaleden en az bir çalışanın sorumlu olduğundan emin olun.
- Bu ekip için bir misyon ve kapsam tanımlayın.
- Güvenlik Yöneticisi, Güvenlik Mühendisi, Olay Yöneticisi için bir kuruluş şeması ve iş tanımları geliştirin.
- Bu rolleri doldurmak için çalışanlar veya harici yükleniciler işe alın.
Güvenlik geliştirme yaşam döngüsü (SDL) tanımlayın. SDL'niz şu alanları kapsamalıdır:
- Ürünler için güvenlik şartları.
- Risk analizi ve tehdit modelleme.
- Uygulamaların ve kodun statik ve dinamik analizi.
- Ürünler için nihai güvenlik incelemesi süreçleri.
- Olaylara müdahale.
Kuruluş riskini değerlendirin. Risk değerlendirmesi oluşturun ve bu riskleri ortadan kaldırmak veya azaltmak için planlar geliştirin.

Derleme doğrulama süreci

Mevcut dahili derleme doğrulama ve onay süreçlerinizdeki boşlukları değerlendirin.

Mevcut derleme doğrulama işleminizde, derlemenize Zararlı Olabilecek Uygulama (PHA) eklenmesine yol açabilecek boşlukları tespit edin.
AOSP'ye yapılan şirket içi yamalar için bile bir kod inceleme ve onay süreciniz olduğundan emin olun.
Aşağıdaki alanlarda kontroller uygulayarak derleme bütünlüğünü iyileştirin:
- Değişiklikleri takip edin. Yazılım mühendislerini takip edin ve değişiklik günlükleri tutun.
- Riski değerlendirin. Bir uygulamanın kullandığı izinleri değerlendirin; kod değişikliklerinin manuel olarak incelenmesini zorunlu kılın.
- İzleyin. Ayrıcalıklı kodda yapılan değişiklikleri değerlendirin.

Kaynak kodu değişikliği izleme

Kaynak kodunda veya üçüncü taraf uygulamaları&hairsp;/&hairsp;ikili dosyalarında&hairsp;/&hairsp;SDK'larda kasıtsız değişiklikler olup olmadığını izleyin.

İş ortaklıklarını değerlendirin. Aşağıdaki adımları uygulayarak teknik bir iş ortağıyla çalışma riskini değerlendirin:
- Belirli bir tedarikçiyle çalışma riskinin nasıl değerlendirileceğine dair ölçütler belirleyin.
- Tedarikçiye, olayları nasıl çözdüklerini ve güvenlik ile gizliliği nasıl yönettiklerini soran bir form oluşturun.
- İddialarını düzenli bir denetimle doğrulayın.
Değişiklikleri takip edin. Hangi şirketlerin ve çalışanların kaynak kodunda değişiklik yaptığını kaydedin ve yalnızca uygun değişikliklerin yapıldığından emin olmak için düzenli denetimler yapın.
Kayıt tutun. Hangi şirketlerin derlemenize üçüncü taraf ikili dosyaları eklediğini kaydedin ve bu uygulamaların hangi işlevi gerçekleştirdiğini ve hangi verileri topladığını belgeleyin.
Plan güncellemeleri. Tedarikçilerinizin, ürününüzün kullanım ömrü boyunca yazılım güncellemeleri sağlaması gerektiğini belirtin. Öngörülemeyen güvenlik açıklarının giderilmesi için tedarikçilerden destek alınması gerekebilir.

Kaynak kodunun bütünlüğünü ve soyağacını doğrulama

Özgün cihaz üreticisi (ODM), kablosuz güncelleme (OTA) veya operatör tarafından sağlanan kaynak kodunu inceleyin ve doğrulayın.

İmzalama sertifikalarını yönetin.
- Anahtarları bir donanım güvenlik modülünde (HSM) veya güvenli bulut hizmetinde saklayın (paylaşmayın).
- İmzalama sertifikalarına erişimin kontrol edildiğinden ve denetlendiğinden emin olun.
- Tüm kod imzalama işlemlerinin derleme sisteminizde yapılmasını zorunlu kılın.
- Kayıp anahtarları iptal edin.
- En iyi uygulamaları kullanarak anahtar oluşturun.
Yeni kodu analiz edin. Yeni eklenen kodu, yeni güvenlik açıklarının eklenip eklenmediğini kontrol etmek için güvenlik kodu analiz araçlarıyla test edin. Ayrıca, yeni güvenlik açıklarının ortaya çıkmasını tespit etmek için genel işlevselliği analiz edin.
Yayınlamadan önce inceleyin. Üretime sunmadan önce kaynak kodda ve üçüncü taraf uygulamalarında güvenlik açıklarını arayın. Örneğin:
- Uygulamaların güvenli iletişim kullanmasını zorunlu kılın.
- En az ayrıcalık ilkesine uyun ve uygulamanın çalışması için gereken minimum izin grubunu verin.
- Verilerin güvenli kanallar üzerinden depolandığından ve aktarıldığından emin olun.
- Hizmet bağımlılıkları güncel tutun.
- SDK'lara ve açık kaynak kitaplıklarına güvenlik yamaları uygulayın.

Olaylara müdahale

Android, güçlü bir güvenlik topluluğunun sorunları bulmaya yardımcı olabileceğine inanır. Kuruluş dışı tarafların cihaza özgü güvenlik sorunları hakkında sizinle iletişime geçebileceği bir yöntem oluşturmalı ve bunu herkese açık hale getirmelisiniz.

İletişime geçin. Ürününüzle ilgili olası güvenlik sorunlarını bildirmek için security@your-company.com gibi bir e-posta adresi veya net talimatlar içeren bir web sitesi oluşturun (örnek).
Güvenlik Açıklarını Bildirenler İçin Ödül Programı (VRP) oluşturun. Geçerli gönderimler için parasal ödüller sunarak kuruluş dışından güvenlik araştırmacılarını ürünlerinizi etkileyen güvenlik açığı raporları göndermeye teşvik edin (örnek). Araştırmacıları, sektörde rekabetçi ödüllerle ödüllendirmenizi öneririz. Örneğin, kritik öneme sahip güvenlik açıkları için 5.000 ABD doları ve yüksek öneme sahip güvenlik açıkları için 2.500 ABD doları.
Yukarı akışa katkıda bulunun. Android platformunu veya birden fazla cihaz üreticisinin cihazlarını etkileyen bir güvenlik sorunu fark ederseniz güvenlik hatası raporu göndererek Android Güvenlik Ekibi ile iletişime geçin.
İyi güvenlik uygulamalarını teşvik edin. Cihazlarınız için hizmet, bileşen ve/veya kod sağlayan donanım ve yazılım tedarikçilerinin güvenlik uygulamalarını proaktif olarak değerlendirin. Tedarikçi firmaları, iyi bir güvenlik durumu