İyi güvenlik uygulamalarının temeli kuruluşunuzda başlar.
Bir güvenlik ve gizlilik ekibi oluşturun
Özel bir güvenlik ve gizlilik ekibi oluşturun ve bu kuruluş için bir lider belirleyin.
- Bir güvenlik ekibi oluşturun.
- Güvenlik, gizlilik ve olaylara müdahaleden en az bir çalışanın sorumlu olduğundan emin olun.
- Bu ekip için bir misyon ve kapsam tanımlayın.
- Şu kişiler için bir organizasyon şeması ve iş tanımları geliştirin: Güvenlik Müdürü, Güvenlik Mühendisi, Olay Yöneticisi.
- Bu rolleri doldurmak için çalışanları veya harici yüklenicileri işe alın.
- Bir güvenlik geliştirme yaşam döngüsünü (SDL) tanımlayın . SDL'niz şu alanları kapsamalıdır:
- Ürünler için güvenlik gereksinimleri.
- Risk analizi ve tehdit modelleme.
- Uygulamaların ve kodların statik ve dinamik analizi .
- Ürünler için son güvenlik inceleme süreçleri.
- Olay yanıtı.
- Organizasyonel riski değerlendirin . Bir risk değerlendirmesi oluşturun ve bu riskleri ortadan kaldırmak veya azaltmak için planlar geliştirin.
Doğrulama sürecini oluşturun
Mevcut dahili yapı doğrulama ve onay süreçlerinizdeki boşlukları değerlendirin.
- Mevcut yapı doğrulama sürecinizde, Yapınıza Potansiyel Olarak Zararlı Uygulamanın (PHA) eklenmesine yol açabilecek tüm boşlukları belirleyin.
- AOSP'ye şirket içi yamalar için bile bir kod inceleme ve onay sürecinizin olduğundan emin olun.
- Aşağıdaki alanlarda kontroller uygulayarak yapı bütünlüğünü iyileştirin:
- Parça değişiklikleri . Yazılım mühendislerini takip edin; değişiklik günlüklerini tutun.
- Risk belirleme . Bir uygulamanın kullandığı izinleri değerlendirin; kod değişikliklerinin manuel olarak incelenmesini gerektirir.
- Monitör . Ayrıcalıklı kodda yapılan değişiklikleri değerlendirin.
Kaynak kodu değişikliği takibi
Kaynak kodunda veya üçüncü taraf uygulamalarda/ikililerde/SDK'larda istenmeden yapılan değişiklikleri izleyin.
- Ortaklıkları değerlendirin . Aşağıdaki adımları kullanarak teknik bir ortakla çalışmanın riskini değerlendirin:
- Belirli bir tedarikçiyle çalışmanın riskinin nasıl değerlendirileceğine ilişkin kriterler oluşturun.
- Tedarikçiye olayları nasıl çözdüğünü ve güvenliği ve gizliliği nasıl yönettiğini soran bir form oluşturun.
- İddialarını periyodik bir denetimle doğrulayın.
- Parça değişiklikleri . Hangi şirketlerin ve çalışanların kaynak kodunu değiştirdiğini kaydedin ve yalnızca uygun değişikliklerin yapıldığından emin olmak için periyodik denetimler yapın.
- Kayıtları tutmak . Hangi şirketlerin üçüncü taraf ikili programları yapınıza eklediğini kaydedin ve bu uygulamaların hangi işlevi gerçekleştirdiğini ve hangi verileri topladıklarını belgeleyin.
- Güncellemeleri planlayın . Tedarikçilerinizin, ürününüzün kullanım ömrü boyunca yazılım güncellemeleri sağlaması gerektiğinden emin olun. Öngörülemeyen güvenlik açıklarının giderilmesi için satıcıların desteği gerekebilir.
Kaynak kodu bütünlüğünü ve soyağacını doğrulayın
Orijinal cihaz üreticisi (ODM), Kablosuz güncelleme (OTA) veya operatör tarafından sağlanan kaynak kodunu inceleyin ve doğrulayın.
- İmzalama sertifikalarını yönetin .
- Anahtarları bir donanım güvenlik modülünde (HSM) veya güvenli bulut hizmetinde saklayın (paylaşmayın).
- İmzalama sertifikalarına erişimin kontrol edildiğinden ve denetlendiğinden emin olun.
- Tüm kod imzalamanın derleme sisteminizde yapılmasını zorunlu kılın.
- Kayıp anahtarları iptal edin.
- En iyi uygulamaları kullanarak anahtarlar oluşturun.
- Yeni kodu analiz edin . Yeni güvenlik açıklarının ortaya çıkıp çıkmadığını kontrol etmek için yeni eklenen kodu güvenlik kodu analiz araçlarıyla test edin. Ayrıca, yeni güvenlik açıklarının ifadesini tespit etmek için genel işlevselliği analiz edin.
- Yayınlamadan önce inceleyin . Üretime aktarmadan önce kaynak kodundaki ve üçüncü taraf uygulamalardaki güvenlik açıklarını arayın. Örneğin:
- Uygulamaların güvenli iletişimi kullanmasını zorunlu kılın.
- En az ayrıcalık ilkesini izleyin ve uygulamanın çalışması için gereken minimum izin kümesini verin.
- Verilerin güvenli kanallar üzerinden saklandığından ve aktarıldığından emin olun.
- Hizmet bağımlılıklarını güncel tutun.
- SDK'lara ve açık kaynak kitaplıklara güvenlik yamaları uygulayın.
Olay yanıtı
Android, sorunların bulunmasına yardımcı olacak güçlü bir güvenlik topluluğunun gücüne inanıyor. Cihaza özgü güvenlik sorunları hakkında harici tarafların sizinle iletişim kurması için bir yol oluşturmalı ve bunu duyurmalısınız.
- İletişim kurmak . your-company gibi bir e-posta adresi veya ürününüzle ilişkili olası güvenlik sorunlarını bildirmeye yönelik açık talimatlar içeren bir web sitesi oluşturun ( örnek ).
- Bir Güvenlik Açığı Ödül Programı (VRP) oluşturun . Geçerli gönderimler için parasal ödüller sunarak, harici güvenlik araştırmacılarını ürünlerinizi etkileyen güvenlik açığı raporları göndermeye teşvik edin ( örnek ). Araştırmacıları, Kritik önemdeki güvenlik açıkları için 5.000 ABD Doları ve Yüksek önemdeki güvenlik açıkları için 2.500 ABD Doları gibi sektörde rekabetçi ödüllerle ödüllendirmenizi öneririz.
- Değişikliklere katkıda bulunun . Android platformunu veya birden fazla cihaz üreticisinin cihazlarını etkileyen bir güvenlik sorununun farkına varırsanız bir güvenlik hatası raporu göndererek Android Güvenlik Ekibi ile iletişime geçin.
- İyi güvenlik uygulamalarını teşvik edin . Cihazlarınız için hizmet, bileşen ve/veya kod sağlayan donanım ve yazılım satıcılarının güvenlik uygulamalarını proaktif olarak değerlendirin. Satıcıları iyi bir güvenlik duruşu sağlama konusunda sorumlu tutun.