Περιεχόμενα κρύβω
1 Λογισμικό AXIS Security Model Development
2 Εισαγωγή
3 Γλωσσάριο
4 ASDM τελείωσεview
5 Ομάδα ασφαλείας λογισμικού (SSG)
6 Διακυβέρνηση ASDM
7 Δομή κατάστασης ASDM
8 Κατάσταση στοιχείου
9 Κατάσταση λύσης
10 δραστηριότητες ASDM
11 Έγγραφα / Πόροι
11.1 Αναφορές
12 Σχετικές αναρτήσεις

AXIS-λογότυπο

Λογισμικό AXIS Security Model Development

Λογισμικό Ανάπτυξης Μοντέλου Ασφάλειας AXIS-εικ1

Εισαγωγή

Στόχοι ASDM
Το Axis Security Development Model (ASDM) είναι ένα πλαίσιο που καθορίζει τη διαδικασία και τα εργαλεία που χρησιμοποιεί η Axis για την κατασκευή λογισμικού με ενσωματωμένη ασφάλεια καθ' όλη τη διάρκεια του κύκλου ζωής, από την έναρξη έως τον παροπλισμό.

Οι πρωταρχικοί στόχοι που οδηγούν τις προσπάθειες ASDM είναι

  • Κάντε την ασφάλεια λογισμικού αναπόσπαστο μέρος των δραστηριοτήτων ανάπτυξης λογισμικού της Axis.
  • Μειώστε τους επιχειρηματικούς κινδύνους που σχετίζονται με την ασφάλεια για τους πελάτες της Axis.
  • Meet increasing awareness of security considerations by customers and partners.
  • Δημιουργήστε δυνατότητες μείωσης του κόστους λόγω έγκαιρου εντοπισμού και επίλυσης προβλημάτων
    Το πεδίο εφαρμογής ASDM είναι το λογισμικό Axis που περιλαμβάνεται στα προϊόντα και τις λύσεις της Axis. Η Ομάδα Ασφαλείας Λογισμικού (SSG) είναι ο ιδιοκτήτης και ο συντηρητής του ASDM.

Γλωσσάριο

ASDM Μοντέλο Ανάπτυξης Ασφάλειας Άξονα
SSG Ομάδα Ασφάλειας Λογισμικού
Υλικολογισμικό πηδαλιούχηση ομάδα Διαχείριση Ε&Α
Δορυφόρος Προγραμματιστές που έχουν μια φυσική συνάφεια με την ασφάλεια λογισμικού
Τρωτό επιτροπή Σημείο επαφής άξονα σε σχέση με τα τρωτά σημεία που βρέθηκαν από εξωτερικούς ερευνητές
Μπάρα σφαλμάτων Στόχος ασφαλείας για ένα προϊόν ή λύση
DFD Διάγραμμα ροής δεδομένων

ASDM τελείωσεview

Το ASDM περιλαμβάνει διάφορες δραστηριότητες κατανεμημένες σε όλες τις κύριες φάσεις ανάπτυξης. Οι δραστηριότητες ασφαλείας προσδιορίζονται συλλογικά ως ASDM.

Λογισμικό Ανάπτυξης Μοντέλου Ασφάλειας AXIS-εικ3

The SSG is responsible for governing the ASDM and evolving the toolbox over time. There is an ASDM roadmap and a rollout plan for implementing new activities and increasing ASDM maturity across the development organization. Both the roadmap and rollout plan are owned by the SSG, but the responsibility for actual implementation in practice (i.e., performing activities related to development phases) is delegated to the R&D teams.

Ομάδα ασφαλείας λογισμικού (SSG)

Η SSG είναι η κύρια οντότητα εσωτερικής επαφής με αναπτυξιακούς οργανισμούς για θέματα που σχετίζονται με την ασφάλεια. Περιλαμβάνει Leads ασφαλείας και άλλους με εξειδικευμένες γνώσεις ασφάλειας σε τομείς ανάπτυξης όπως απαιτήσεις, σχεδιασμός, υλοποίηση, επαλήθευση,
καθώς και διαλειτουργικές διαδικασίες DevOps.
Η SSG είναι υπεύθυνη για την ανάπτυξη και τη συντήρηση του ASDM για ασφαλείς πρακτικές ανάπτυξης και ευαισθητοποίηση σχετικά με την ασφάλεια στον οργανισμό ανάπτυξης.

Δορυφόροι
Οι δορυφόροι είναι μέλη του οργανισμού ανάπτυξης που περνούν ένα μέρος του χρόνου τους δουλεύοντας με πτυχές ασφάλειας λογισμικού. Οι λόγοι για την ύπαρξη δορυφόρων είναι:

  • Κλιμακώστε το ASDM χωρίς να δημιουργήσετε ένα μεγάλο κεντρικό SSG
  • Παρέχετε υποστήριξη ASDM κοντά στις ομάδες ανάπτυξης
  • Διευκολύνετε την ανταλλαγή γνώσεων, π.χ. βέλτιστες πρακτικές
    Ένας δορυφόρος θα βοηθήσει στην υλοποίηση νέων δραστηριοτήτων και στη διατήρηση του ASDM σε ένα υποσύνολο των ομάδων ανάπτυξης.

Διάδοση δραστηριότητας ASDM
Η διάθεση της δραστηριότητας ASDM σε μια ομάδα ανάπτυξης είναι όπωςtagδιαδικασία έκδοσης:

  1. Η ομάδα εισάγεται στη νέα δραστηριότητα μέσω εκπαίδευσης για συγκεκριμένους ρόλους.
  2. Η SSG συνεργάζεται με την ομάδα για να εκτελέσει τη δραστηριότητα, π.χ. αξιολόγηση κινδύνου ή μοντελοποίηση απειλών, για επιλεγμένα μέρη του συστήματος ή των συστημάτων που διαχειρίζεται η ομάδα.
  3. Περαιτέρω δραστηριότητες που σχετίζονται με την ενσωμάτωση της εργαλειοθήκης στην καθημερινή εργασία θα παραδοθούν στην ομάδα και τους δορυφόρους όταν είναι έτοιμοι να εργαστούν ανεξάρτητα χωρίς άμεση συμμετοχή της SSG. Σε αυτή τη φάση, η εργασία διέπεται από τον διευθυντή της ομάδας μέσω του καθεστώτος ASDM.
    Η διάθεση επαναλαμβάνεται όταν υπάρχουν διαθέσιμες νέες εκδόσεις του ASDM με τροποποιημένες ή/και προστιθέμενες δραστηριότητες. Ο χρόνος που αφιερώνει η SSG με μια ομάδα εξαρτάται σε μεγάλο βαθμό από τη δραστηριότητα και την πολυπλοκότητα του κώδικα. Ένας βασικός παράγοντας για την επιτυχή παράδοση στην ομάδα είναι η ύπαρξη ενός ενσωματωμένου δορυφόρου που μπορεί να συνεχίσει την περαιτέρω εργασία του ASDM με την ομάδα. Το SSG οδηγεί την εκμάθηση και την ανάθεση του δορυφόρου παράλληλα με την ανάπτυξη δραστηριοτήτων.
    Το παρακάτω σχήμα συνοψίζει τη μεθοδολογία διάθεσης.

    Λογισμικό Ανάπτυξης Μοντέλου Ασφάλειας AXIS-εικ4

Ο ορισμός του SSG για το "ολοκληρώθηκε" για παράδοση είναι:

  • Πραγματοποιήθηκε ειδική εκπαίδευση ρόλου
  • Εκχωρήθηκε δορυφόρος
  • Η ομάδα είναι έτοιμη να εκτελέσει τη δραστηριότητα ASDM
  • Καθιερώθηκαν επαναλαμβανόμενες συνεδριάσεις για το καθεστώς ASDM
    Η SSG χρησιμοποιεί πληροφορίες από τις ομάδες για τη συγκέντρωση αναφορών κατάστασης προς τα ανώτερα στελέχη.

Άλλες δραστηριότητες SSG
Παράλληλα με τις δραστηριότητες ανάπτυξης, η SSG διεξάγει ευρύτερες εκπαιδευτικές δραστηριότητες ευαισθητοποίησης σχετικά με την ασφάλεια που στοχεύουν π.χ. σε νέους υπαλλήλους και ανώτερα στελέχη. Επιπλέον, η SSG διατηρεί έναν χάρτη θερμότητας ασφαλείας των λύσεων του Axis για σκοπούς συνολικής/αρχιτεκτονικής εκτίμησης κινδύνου. Οι δραστηριότητες προληπτικής ανάλυσης ασφάλειας για συγκεκριμένες μονάδες εκτελούνται με βάση τον χάρτη θερμότητας.

Ρόλοι και ευθύνες
Όπως φαίνεται στον παρακάτω πίνακα, υπάρχουν ορισμένες βασικές οντότητες και ρόλοι που αποτελούν μέρος του προγράμματος ASDM. Ο παρακάτω πίνακας συνοψίζει τους ρόλους και τις ευθύνες σε σχέση με το ASDM.

Ρόλος/Οντότητα Μέρος του Ευθύνη Σχόλιο
Εμπειρογνώμονας ασφαλείας SSG Κυβερνήστε το ASDM, εξελίξτε την εργαλειοθήκη και προωθήστε την κυκλοφορία του ASDM 100% εκχωρήθηκε στην SSG
Δορυφόρος Γραμμή ανάπτυξης Βοηθήστε την SSG να εφαρμόσει το ASDM την πρώτη φορά, προπονήστε ομάδες, πραγματοποιήστε προπονήσεις και βεβαιωθείτε ότι η ομάδα μπορεί να συνεχίσει να χρησιμοποιεί την Εργαλειοθήκη ως μέρος της καθημερινής εργασίας, ανεξάρτητα από την SSG. Απαιτείται διαομαδική ευθύνη (πολλές ομάδες) για τον περιορισμό του συνολικού αριθμού δορυφόρων. Ενδιαφερόμενοι και αφοσιωμένοι προγραμματιστές, αρχιτέκτονες, διαχειριστές, δοκιμαστές και παρόμοιοι ρόλοι που έχουν μια φυσική συνάφεια με την ασφάλεια λογισμικού. Οι δορυφόροι εκχωρούν τουλάχιστον το 20% του χρόνου τους σε εργασίες που σχετίζονται με το ASDM.
Διευθυντές Γραμμή ανάπτυξης Εξασφάλιση πόρων για την εφαρμογή των πρακτικών ASDM. Παρακολούθηση παρακολούθησης και αναφοράς σχετικά με την κατάσταση και την κάλυψη ASDM. Οι ομάδες ανάπτυξης κατέχουν την εφαρμογή ASDM, με το SSG ως πόρο υποστήριξης.
Firmware Steering Group (FW SG) Διαχείριση Ε&Α Αποφασίζει για τη στρατηγική ασφαλείας και λειτουργεί ως κύριο κανάλι αναφοράς SSG. Η SSG αναφέρεται στην FW SG σε τακτική βάση.

Διακυβέρνηση ASDM

Το σύστημα διακυβέρνησης περιλαμβάνει τα ακόλουθα μέρη:

  • Χάρτης θερμότητας κινδύνου συστήματος για να βοηθήσει στην ιεράρχηση των δραστηριοτήτων ASDM
  • Σχέδιο διάθεσης και κατάσταση για εστίαση στις προσπάθειες κατάρτισης
  • Οδικός χάρτης για την εξέλιξη της εργαλειοθήκης
  • Κατάσταση για τη μέτρηση του πόσο καλά είναι ενσωματωμένες οι δραστηριότητες ASDM στον οργανισμό

Έτσι, το σύστημα ASDM υποστηρίζεται τόσο από τακτική/επιχειρησιακή όσο και από στρατηγική/εκτελεστική άποψη.
Η εκτελεστική καθοδήγηση στη δεξιά πλευρά του σχήματος εστιάζεται στον τρόπο ανάπτυξης του οργανισμού για βέλτιστη αποτελεσματικότητα σύμφωνα με τους επιχειρηματικούς στόχους του Axis. Μια σημαντική συμβολή σε αυτό είναι η αναφορά κατάστασης ASDM που εκτελείται από την SSG προς την ομάδα διεύθυνσης υλικολογισμικού, τον CTO και τη Διαχείριση προϊόντων.

Λογισμικό Ανάπτυξης Μοντέλου Ασφάλειας AXIS-εικ5

Δομή κατάστασης ASDM

Η δομή του καθεστώτος ASDM έχει δύο προοπτικές: μία ομαδική που μιμείται τη δομή της ομάδας και του τμήματός μας και μία επίκεντρη λύσης με επίκεντρο τις λύσεις που φέρνουμε στην αγορά.
Το παρακάτω σχήμα απεικονίζει τη δομή κατάστασης ASDM.

Κατάσταση ομάδας
Η κατάσταση της ομάδας περιλαμβάνει την αυτοαξιολόγηση της ομάδας της ωριμότητας ASDM, μετρήσεις που σχετίζονται με τις δραστηριότητες ανάλυσης ασφάλειας καθώς και μια συγκέντρωση της κατάστασης ασφάλειας των στοιχείων για τα οποία είναι υπεύθυνα.

Λογισμικό Ανάπτυξης Μοντέλου Ασφάλειας AXIS-εικ6

Το Axis ορίζει την ωριμότητα ASDM ως την έκδοση ASDM που χρησιμοποιεί αυτή τη στιγμή η ομάδα. Δεδομένου ότι το ASDM εξελίσσεται, έχουμε ορίσει την έκδοση ASDM όπου κάθε έκδοση του ASDM περιέχει ένα μοναδικό σύνολο δραστηριοτήτων. Για π.χample, η πρώτη μας έκδοση του ASDM επικεντρώνεται στη μοντελοποίηση απειλών.
Η Axis έχει ορίσει τις ακόλουθες εκδόσεις ASDM:

Έκδοση ASDM Νέες δραστηριότητες
ASDM 1.0 Εκτίμηση κινδύνου και μοντελοποίηση απειλών
ASDM 2.0 Στατικός κωδικός ρεview
ASDM 2.1 Απόρρητο βάσει σχεδίου
ASDM 2.2 Ανάλυση σύνθεσης λογισμικού
ASDM 2.3 Δοκιμή εξωτερικής διείσδυσης
ASDM 2.4 Σάρωση ευπάθειας και τρυπάνι πυρός
ASDM 2.5 Κατάσταση ασφάλειας προϊόντος/λύσης

Το να εκχωρήσετε στην ομάδα την κυριότητα της έκδοσης ASDM που χρησιμοποιούν σημαίνει ότι είναι ο υπεύθυνος γραμμής που είναι υπεύθυνος για την υιοθέτηση των νέων εκδόσεων ASDM. Έτσι, αντί για μια εγκατάσταση όπου η SSG προωθεί ένα κεντρικό σχέδιο διάθεσης ASDM, γίνεται πλέον βασισμένη σε έλξεις και ελέγχεται από τους διαχειριστές.

Κατάσταση στοιχείου

  • Έχουμε έναν ευρύ ορισμό του στοιχείου, καθώς πρέπει να καλύψουμε όλα τα είδη αρχιτεκτονικών οντοτήτων που κυμαίνονται από δαίμονες Linux στην πλατφόρμα, μέσω λογισμικού διακομιστή μέχρι υπηρεσίες cloud (micro).
  • Κάθε ομάδα πρέπει να αποφασίσει για ένα επίπεδο αφαίρεσης που λειτουργεί για αυτήν στο περιβάλλον και την αρχιτεκτονική της. Κατά κανόνα, οι ομάδες πρέπει να αποφεύγουν να εφεύρουν ένα νέο επίπεδο αφαίρεσης και να κρατούν ό,τι ήδη χρησιμοποιούν στην καθημερινή τους εργασία.
  • Η ιδέα είναι ότι κάθε ομάδα πρέπει να έχει ξεκάθαρο view όλων των εξαρτημάτων υψηλού κινδύνου, που περιλαμβάνει νέα καθώς και παλαιού τύπου στοιχεία. Το κίνητρο για αυτό το αυξημένο ενδιαφέρον για στοιχεία παλαιού τύπου συνδέεται με την ικανότητά μας να εξετάζουμε την κατάσταση ασφάλειας για λύσεις. Στην περίπτωση μιας λύσης, θέλουμε να έχουμε ορατότητα στην κατάσταση ασφάλειας όλων των τμημάτων της λύσης νέας καθώς και παλαιών.
  • Στην πράξη αυτό σημαίνει ότι κάθε ομάδα πρέπει να εξετάσει το απόθεμα των εξαρτημάτων της και να κάνει μια εκτίμηση κινδύνου.
  • Το πρώτο πράγμα που πρέπει να γνωρίζουμε είναι εάν το στοιχείο έχει υποβληθεί σε ανάλυση ασφαλείας. Εάν δεν έχει, πραγματικά δεν γνωρίζουμε τίποτα για την ποιότητα ασφάλειας του εξαρτήματος.

Ονομάζουμε αυτό το ακίνητο κάλυψη και έχουμε ορίσει τα ακόλουθα επίπεδα κάλυψης:

Κάλυψη Περιγραφή
Η ανάλυση δεν έγινε Το συστατικό δεν έχει ακόμη αναλυθεί
Η ανάλυση σε εξέλιξη Το συστατικό αναλύεται
Η ανάλυση έγινε Το συστατικό έχει αναλυθεί

Οι μετρήσεις που χρησιμοποιούμε για να καταγράψουμε την ποιότητα ασφάλειας του στοιχείου βασίζονται στα στοιχεία εργασίας ασφαλείας στο ανεκτέλεστο αρχείο που είναι συνδεδεμένα με το στοιχείο. Αυτό μπορεί να είναι αντίμετρα που δεν έχουν εφαρμοστεί, δοκιμαστικές περιπτώσεις που δεν έχουν εκτελεστεί και σφάλματα ασφαλείας που δεν έχουν αντιμετωπιστεί.

Κατάσταση λύσης

Η κατάσταση λύσης συγκεντρώνει την κατάσταση ασφαλείας για ένα σύνολο στοιχείων που συνθέτουν τη λύση.
Το πρώτο μέρος της κατάστασης λύσης είναι η κάλυψη ανάλυσης των εξαρτημάτων. Αυτό βοηθά τους κατόχους λύσεων να κατανοήσουν εάν η κατάσταση ασφαλείας της λύσης είναι γνωστή ή αν δεν είναι γνωστή. Από μια άποψη, βοηθά στον εντοπισμό των τυφλών σημείων. Η υπόλοιπη κατάσταση της λύσης περιέχει μετρήσεις που αποτυπώνουν την ποιότητα ασφάλειας της λύσης. Αυτό το κάνουμε εξετάζοντας τα στοιχεία εργασίας ασφαλείας που συνδέονται με τα στοιχεία της λύσης. Μια σημαντική πτυχή της κατάστασης ασφαλείας είναι η γραμμή σφαλμάτων που ορίζεται από τους κατόχους λύσεων. Οι κάτοχοι λύσεων πρέπει να ορίσουν ένα κατάλληλο επίπεδο ασφάλειας για τη λύση τους. Για π.χampΑυτό σημαίνει ότι η λύση δεν πρέπει να έχει ανοιχτά κρίσιμα ή υψηλής σοβαρότητας αντικείμενα εργασίας όταν κυκλοφορήσει στην αγορά.

δραστηριότητες ASDM

Εκτίμηση κινδύνου
Ο κύριος σκοπός της αξιολόγησης κινδύνου είναι να φιλτράρει ποιες δραστηριότητες ανάπτυξης θα απαιτήσουν επίσης εργασία ασφάλειας εντός της ομάδας.
Η αξιολόγηση κινδύνου γίνεται κρίνοντας εάν ένα νέο προϊόν ή ένα προστιθέμενο/τροποποιημένο χαρακτηριστικό σε υπάρχοντα προϊόντα αυξάνει την έκθεση στον κίνδυνο. Σημειώστε ότι αυτό περιλαμβάνει επίσης πτυχές απορρήτου δεδομένων και απαιτήσεις συμμόρφωσης. ΠρώηνampΟι αλλαγές που έχουν αντίκτυπο κινδύνου είναι νέα API, αλλαγές στις απαιτήσεις εξουσιοδότησης, νέο ενδιάμεσο λογισμικό κ.λπ.

Απόρρητο δεδομένων
Η εμπιστοσύνη αποτελεί βασικό τομέα εστίασης για την Axis και, ως εκ τούτου, είναι σημαντικό να ακολουθείτε τις βέλτιστες πρακτικές κατά την εργασία με προσωπικά δεδομένα που συλλέγονται από τα προϊόντα, τις λύσεις και τις υπηρεσίες μας.
Το εύρος των προσπαθειών του Axis που σχετίζονται με το απόρρητο δεδομένων ορίζεται έτσι ώστε να μπορούμε:

  • Εκπλήρωση νομικών υποχρεώσεων
  • Εκπλήρωση συμβατικών υποχρεώσεων
  • Βοηθήστε τους πελάτες να εκπληρώσουν τις υποχρεώσεις τους

Χωρίζουμε τη δραστηριότητα απορρήτου δεδομένων σε δύο επιμέρους δραστηριότητες:

  • Αξιολόγηση απορρήτου δεδομένων
    • Έγινε κατά την αξιολόγηση κινδύνου
    • Προσδιορίζει εάν απαιτείται ανάλυση απορρήτου δεδομένων
  •  Ανάλυση απορρήτου δεδομένων
    • Έγινε, κατά περίπτωση, κατά τη μοντελοποίηση απειλών
    • Προσδιορίζει προσωπικά δεδομένα και απειλές για προσωπικά δεδομένα
    • Καθορίζει τις απαιτήσεις απορρήτου

Μοντελοποίηση απειλών
Πριν αρχίσουμε να αναγνωρίζουμε απειλές, πρέπει να αποφασίσουμε για το εύρος του μοντέλου απειλών. Ένας τρόπος άρθρωσης του εύρους είναι να περιγράψουμε τους επιτιθέμενους που πρέπει να εξετάσουμε. Αυτή η προσέγγιση θα μας επιτρέψει επίσης να προσδιορίσουμε τις επιφάνειες επίθεσης υψηλού επιπέδου που πρέπει να συμπεριλάβουμε στην ανάλυση.

Λογισμικό Ανάπτυξης Μοντέλου Ασφάλειας AXIS-εικ7

  • Η εστίαση κατά την οριοθέτηση της απειλής είναι η εύρεση και η κατηγοριοποίηση των εισβολέων που θέλουμε να χειριστούμε χρησιμοποιώντας μια περιγραφή υψηλού επιπέδου του συστήματος. Κατά προτίμηση η περιγραφή γίνεται χρησιμοποιώντας ένα διάγραμμα ροής δεδομένων (DFD), καθώς διευκολύνει τη συσχέτιση των πιο λεπτομερών περιγραφών περιπτώσεων χρήσης που χρησιμοποιούνται όταν γίνεται το μοντέλο απειλής.
  • Αυτό δεν σημαίνει ότι πρέπει να ληφθούν υπόψη όλοι οι εισβολείς που εντοπίζουμε, σημαίνει απλώς ότι είμαστε σαφείς και συνεπείς ως προς τους επιτιθέμενους που θα αντιμετωπίσουμε στο μοντέλο απειλών. Έτσι, ουσιαστικά οι εισβολείς που επιλέγουμε να εξετάσουμε θα καθορίσουν το επίπεδο ασφάλειας του συστήματος που αξιολογούμε.
    Λάβετε υπόψη ότι η περιγραφή του επιτιθέμενου δεν επηρεάζει τις δυνατότητες ή τα κίνητρα του εισβολέα. Επιλέξαμε αυτήν την προσέγγιση για να απλοποιήσουμε και να εξορθολογίσουμε όσο το δυνατόν περισσότερο τη μοντελοποίηση απειλών.

    Λογισμικό Ανάπτυξης Μοντέλου Ασφάλειας AXIS-εικ8

Η μοντελοποίηση απειλών έχει τρία βήματα που μπορούν να επαναληφθούν όπως κρίνει η ομάδα:

  1. Περιγράψτε το σύστημα χρησιμοποιώντας ένα σύνολο DFD
  2. Χρησιμοποιήστε τα DFD για να εντοπίσετε απειλές και να τις περιγράψετε με στυλ κατάχρησης
  3. 3. Καθορίστε αντίμετρα και επαλήθευση για τις απειλές
    Το αποτέλεσμα μιας δραστηριότητας μοντελοποίησης απειλών είναι ένα μοντέλο απειλών που περιέχει απειλές και αντίμετρα με προτεραιότητα. Οι εργασίες ανάπτυξης που απαιτούνται για την αντιμετώπιση των αντίμετρων διαχειρίζονται με τη δημιουργία εισιτηρίων Jira τόσο για την εφαρμογή όσο και για την επαλήθευση του αντίμετρου.

    Λογισμικό Ανάπτυξης Μοντέλου Ασφάλειας AXIS-εικ9

Στατική ανάλυση κώδικα
Στο ASDM, οι ομάδες μπορούν να χρησιμοποιήσουν την ανάλυση στατικού κώδικα με τρεις τρόπους:

  • Ροή εργασιών προγραμματιστή: οι προγραμματιστές αναλύουν τον κώδικα στον οποίο εργάζονται
  • Ροή εργασίας Gerrit: οι προγραμματιστές λαμβάνουν σχόλια στο Gerrit
  • Ροή εργασιών παλαιού τύπου: οι ομάδες αναλύουν στοιχεία παλαιού τύπου υψηλού κινδύνου

    Λογισμικό Ανάπτυξης Μοντέλου Ασφάλειας AXIS-εικ10

Σάρωση ευπάθειας
Η τακτική σάρωση ευπάθειας επιτρέπει στις ομάδες ανάπτυξης να εντοπίζουν και να επιδιορθώνουν τις ευπάθειες λογισμικού πριν από τη διάθεση των προϊόντων στο κοινό, μειώνοντας τον κίνδυνο των πελατών κατά την ανάπτυξη του προϊόντος ή της υπηρεσίας. Η σάρωση εκτελείται πριν από κάθε έκδοση υλικού, λογισμικού) ή σε πρόγραμμα εκτέλεσης (υπηρεσίες) χρησιμοποιώντας πακέτα σάρωσης τόσο ανοιχτού κώδικα όσο και εμπορικής ευπάθειας. Τα αποτελέσματα των σαρώσεων χρησιμοποιούνται για τη δημιουργία εισιτηρίων στην πλατφόρμα παρακολούθησης προβλημάτων Jira. Τα εισιτήρια δίνονται ειδική tag να αναγνωρίζεται από τις ομάδες ανάπτυξης ότι προέρχονται από σάρωση ευπάθειας και ότι θα πρέπει να τους δίνεται υψηλή προτεραιότητα. Όλες οι σαρώσεις ευπάθειας και τα εισιτήρια Jira αποθηκεύονται κεντρικά για σκοπούς ιχνηλασιμότητας και ελέγχου. Τα κρίσιμα τρωτά σημεία θα πρέπει να επιλύονται πριν από την κυκλοφορία ή σε μια έκδοση ειδικής υπηρεσίας με άλλα, μη κρίσιμα τρωτά σημεία,
παρακολουθούνται και επιλύονται σε ευθυγράμμιση με τον κύκλο έκδοσης υλικολογισμικού ή λογισμικού. Kor περισσότερες πληροφορίες σχετικά με τον τρόπο βαθμολόγησης και διαχείρισης των τρωτών σημείων, ανατρέξτε στην ενότητα Διαχείριση ευπάθειας στη σελίδα 12

Δοκιμή εξωτερικής διείσδυσης
Σε επιλεγμένες περιπτώσεις, πραγματοποιείται δοκιμή διείσδυσης τρίτων σε προϊόντα υλικού ή λογισμικού Axis. Ο κύριος σκοπός της διεξαγωγής αυτών των δοκιμών είναι να παρέχει διορατικότητα και βεβαιότητα σχετικά με την ασφάλεια του platrorm σε ένα συγκεκριμένο χρονικό σημείο και για ένα συγκεκριμένο εύρος. Ένας από τους κύριους στόχους μας με το ASDM είναι η διαφάνεια, επομένως ενθαρρύνουμε τους πελάτες μας να πραγματοποιούν δοκιμές εξωτερικής διείσδυσης στα προϊόντα μας και είμαστε στην ευχάριστη θέση να συνεργαστούμε κατά τον καθορισμό κατάλληλων παραμέτρων για δοκιμές καθώς και συζητήσεις σχετικά με την ερμηνεία των αποτελεσμάτων.

Διαχείριση ευπάθειας
Η Axis είναι, από το 2021, μια εγγεγραμμένη αρχή ονοματοδοσίας CVE (CNA) και επομένως είναι σε θέση να δημοσιεύει τυπικές αναφορές CVE στη βάση δεδομένων MITER για κατανάλωση από σαρωτές ευπάθειας τρίτων και άλλα εργαλεία. Η πλακέτα ευπάθειας (VB) είναι το εσωτερικό σημείο επαφής του Άξονα για τα τρωτά σημεία που ανακαλύπτονται από εξωτερικούς ερευνητές. Αναφορά του
οι ευπάθειες που ανακαλύφθηκαν και τα επακόλουθα σχέδια αποκατάστασης κοινοποιούνται μέσω του product-security@axis.com διεύθυνση ηλεκτρονικού ταχυδρομείου.
Η κύρια ευθύνη του συμβουλίου ευπάθειας είναι να αναλύει και να ιεραρχεί τα αναφερόμενα τρωτά σημεία από επιχειρηματική σκοπιά, με βάση

  • Τεχνική ταξινόμηση που παρέχεται από την SSG
  • Πιθανός κίνδυνος για τους τελικούς χρήστες στο περιβάλλον στο οποίο λειτουργεί η συσκευή Axis
  • Διαθεσιμότητα αντισταθμιστικών ελέγχων ασφαλείας εναλλακτικός μετριασμός κινδύνου χωρίς επιδιόρθωση)

Το VB καταχωρεί τον αριθμό CVE και συνεργάζεται με τον αναφέροντα για να εκχωρήσει μια βαθμολογία CVSS στην ευπάθεια. Το VB οδηγεί επίσης σε εξωτερική επικοινωνία με συνεργάτες και πελάτες μέσω της υπηρεσίας ειδοποιήσεων ασφαλείας του Axis, ανακοινώσεων τύπου και ειδήσεων.

Λογισμικό Ανάπτυξης Μοντέλου Ασφάλειας AXIS-εικ11

Μοντέλο Ανάπτυξης Ασφάλειας Άξονα © Axis Communications AB, 2022

Έγγραφα / Πόροι

Λογισμικό AXIS Security Model Development [pdf] Εγχειρίδιο χρήστη
Μοντέλο Ανάπτυξης Ασφαλείας, Λογισμικό, Λογισμικό Μοντέλου Ανάπτυξης Ασφαλείας

Αναφορές

Σχετικές αναρτήσεις

Αφήστε ένα σχόλιο

Η διεύθυνση email σας δεν θα δημοσιευτεί. Τα υποχρεωτικά πεδία επισημαίνονται *