AXIS Security Development Model Software
Ներածություն
ASDM-ի նպատակները
Axis Security Development Model-ը (ASDM) շրջանակ է, որը սահմանում է գործընթացն ու գործիքները, որոնք օգտագործվում են Axis-ի՝ ներկառուցված անվտանգությամբ ծրագրային ապահովման ստեղծման համար կյանքի ցիկլի ընթացքում՝ սկզբից մինչև շահագործումից հանելը:
ASDM-ի ջանքերը մղող առաջնային նպատակներն են
- Դարձրեք ծրագրային ապահովման անվտանգությունը Axis-ի ծրագրային ապահովման մշակման գործունեության ինտեգրված մաս:
- Նվազեցրեք անվտանգության հետ կապված բիզնես ռիսկերը Axis-ի հաճախորդների համար:
- Meet increasing awareness of security considerations by customers and partners.
- Ստեղծեք ծախսերի կրճատման ներուժ՝ խնդիրների վաղ հայտնաբերման և լուծման պատճառով
ASDM շրջանակը Axis ծրագրակազմն է, որը ներառված է Axis-ի արտադրանքներում և լուծումներում: Ծրագրային ապահովման անվտանգության խումբը (SSG) ASDM-ի սեփականատերն ու սպասարկողն է:
Բառարան
| ASDM | Առանցքի անվտանգության զարգացման մոդել |
| SSG | Software Security Group |
| Որոնվածը ղեկ խումբ | R&D կառավարում |
| Արբանյակային | Ծրագրավորողներ, ովքեր բնական կապ ունեն ծրագրային ապահովման անվտանգության հետ |
| Խոցելիություն տախտակ | Արտաքին հետազոտողների կողմից հայտնաբերված խոցելիության հետ կապված առանցքի շփման կետ |
| Սխալների բար | Անվտանգության թիրախ արտադրանքի կամ լուծման համար |
| DFD | Տվյալների հոսքի դիագրամ |
ASDM ավարտվեցview
ASDM-ը ներառում է մի քանի գործողություններ, որոնք տարածված են զարգացման հիմնական փուլերում: Անվտանգության գործողությունները հավաքականորեն նույնականացվում են որպես ASDM:
The SSG is responsible for governing the ASDM and evolving the toolbox over time. There is an ASDM roadmap and a rollout plan for implementing new activities and increasing ASDM maturity across the development organization. Both the roadmap and rollout plan are owned by the SSG, but the responsibility for actual implementation in practice (i.e., performing activities related to development phases) is delegated to the R&D teams.
Ծրագրային ապահովման խումբ (SSG)
SSG-ն անվտանգության հետ կապված խնդիրների համար մշակող կազմակերպությունների հետ ներքին կապի հիմնական կազմակերպությունն է: Այն ներառում է Անվտանգության առաջատարներ և այլք, ովքեր ունեն անվտանգության մասնագետ գիտելիքներ զարգացման ոլորտներում, ինչպիսիք են պահանջները, դիզայնը, իրականացումը, ստուգումը,
ինչպես նաև բազմաֆունկցիոնալ DevOps գործընթացներ:
SSG-ն պատասխանատու է ASDM-ի մշակման և պահպանման համար՝ զարգացման անվտանգ պրակտիկաների և զարգացման կազմակերպությունում անվտանգության իրազեկման համար:
Արբանյակներ
Արբանյակները մշակող կազմակերպության անդամներ են, որոնք իրենց ժամանակի մի մասը ծախսում են՝ աշխատելով ծրագրային ապահովման անվտանգության ասպեկտների հետ: Արբանյակներ ունենալու պատճառներն են.
- Սանդղակավորեք ASDM առանց մեծ կենտրոնական SSG կառուցելու
- Տրամադրեք ASDM աջակցություն մշակողների թիմերին մոտ
- Հեշտացնել գիտելիքների փոխանակումը, օրինակ՝ լավագույն փորձը
Արբանյակը կօգնի նոր գործողությունների իրականացմանը և ASDM-ի պահպանմանը զարգացման թիմերի ենթախմբում:
ASDM գործունեության թողարկում
ASDM գործունեության rollout զարգացման թիմին նման էtagխմբագրման գործընթացը:
- Թիմը ներկայացվում է նոր գործունեությանը հատուկ դերերի վերապատրաստման միջոցով:
- SSG-ն աշխատում է թիմի հետ միասին՝ թիմի կողմից կառավարվող համակարգի (համակարգերի) ընտրված մասերի համար, օրինակ՝ ռիսկերի գնահատում կամ սպառնալիքների մոդելավորում իրականացնելու գործողությունները:
- Գործիքների տուփը առօրյա աշխատանքում ինտեգրելու հետ կապված հետագա գործողությունները կհանձնվեն թիմին և արբանյակին, երբ նրանք պատրաստ լինեն ինքնուրույն աշխատել՝ առանց SSG-ի անմիջական մասնակցության: Այս փուլում աշխատանքը ղեկավարվում է թիմի մենեջերի կողմից՝ ASDM կարգավիճակի միջոցով:
Տեղադրումը կրկնվում է, երբ առկա են ASDM-ի նոր տարբերակներ՝ փոփոխված և/կամ ավելացված գործողություններով: SSG-ի կողմից թիմի հետ անցկացրած ժամանակի քանակը մեծապես կախված է գործունեության և կոդի բարդությունից: Թիմին հաջող հանձնելու հիմնական գործոնը ներկառուցված արբանյակի առկայությունն է, որը կարող է շարունակել ASDM-ի հետագա աշխատանքը թիմի հետ: SSG-ն իրականացնում է արբանյակի ուսուցումն ու նշանակումը գործունեության թողարկմանը զուգահեռ:
Ստորև բերված նկարն ամփոփում է ներդրման մեթոդաբանությունը:
SSG-ի «կատարված»-ի սահմանումը հանձնման համար հետևյալն է.
- Կատարված դերի հատուկ ուսուցում
- Նշանակվել է արբանյակ
- Թիմը պատրաստ է իրականացնել ASDM գործունեությունը
- Սահմանվել են ASDM կարգավիճակի պարբերական հանդիպումներ
SSG-ն օգտագործում է թիմերի տվյալները՝ բարձրագույն ղեկավարության համար կարգավիճակի մասին հաշվետվություններ հավաքելու համար:
SSG-ի այլ գործողություններ
Ներդրման աշխատանքներին զուգահեռ, SSG-ն իրականացնում է անվտանգության իրազեկման ավելի լայն ուսուցողական գործողություններ, որոնք ուղղված են օրինակ նոր աշխատակիցներին և բարձրագույն ղեկավարությանը: Բացի այդ, SSG-ն պահպանում է Axis լուծումների անվտանգության ջերմային քարտեզը ընդհանուր/ճարտարապետական ռիսկերի գնահատման նպատակներով: Հատուկ մոդուլների համար անվտանգության ակտիվ վերլուծության գործողությունները կատարվում են ջերմային քարտեզի հիման վրա:
Դերեր և պարտականություններ
Ինչպես ցույց է տրված ստորև բերված աղյուսակում, կան որոշ հիմնական միավորներ և դերեր, որոնք ASDM ծրագրի մաս են կազմում: Ստորև բերված աղյուսակը ամփոփում է դերերն ու պարտականությունները ASDM-ի հետ կապված:
| Դեր/Սուբյեկտ | Մասը | Պատասխանատվություն | Մեկնաբանություն |
| Անվտանգության փորձագետ | SSG | Կառավարեք ASDM-ը, զարգացրեք գործիքների տուփը և քշեք ASDM-ի թողարկումը | 100% հանձնարարված է SSG-ին |
| Արբանյակային | Զարգացման գիծ | Օգնեք SSG-ին առաջին անգամ իրականացնել ASDM, մարզել թիմերը, կատարել մարզումներ և ապահովել, որ թիմը կարողանա շարունակել օգտագործել Գործիքների տուփը որպես ամենօրյա աշխատանքի մաս՝ անկախ SSG-ից: Արբանյակների ընդհանուր թիվը սահմանափակելու համար պահանջվում է խաչաձև թիմային պատասխանատվություն (մի քանի թիմ): | Հետաքրքրված և ներգրավված ծրագրավորողներ, ճարտարապետներ, մենեջերներ, փորձարկողներ և նմանատիպ դերեր, ովքեր բնական կապ ունեն ծրագրային ապահովման անվտանգության հետ: Արբանյակներն իրենց ժամանակի առնվազն 20%-ը հատկացնում են ASDM-ի հետ կապված աշխատանքին: |
| Մենեջերներ | Զարգացման գիծ | Ապահովել ռեսուրսներ ASDM պրակտիկայի իրականացման համար: Drive-ի հետևում և հաշվետվություն ASDM կարգավիճակի և ծածկույթի վերաբերյալ: | Զարգացման թիմերին է պատկանում ASDM իրականացումը, SSG-ն որպես օժանդակ ռեսուրս: |
| Firmware Steering Group (FW SG) | R&D կառավարում | Որոշում է անվտանգության ռազմավարությունը և հանդես է գալիս որպես SSG հաշվետվության հիմնական ալիք: | SSG-ն պարբերաբար զեկուցում է FW SG-ին: |
ASDM կառավարում
Կառավարման համակարգը բաղկացած է հետևյալ մասերից.
- Համակարգի ռիսկի ջերմային քարտեզ՝ օգնելու ASDM գործունեության առաջնահերթությանը
- Գործարկման պլան և կարգավիճակ՝ կենտրոնանալու վերապատրաստման ջանքերի վրա
- Գործիքների տուփը զարգացնելու ճանապարհային քարտեզ
- Կարգավիճակ՝ չափելու, թե որքանով են ինտեգրված ASDM գործունեությունը կազմակերպությունում
Այսպիսով, ASDM համակարգը աջակցվում է ինչպես մարտավարական/գործառնական, այնպես էլ ռազմավարական/գործադիր տեսանկյունից:
Նկարի աջ կողմում գտնվող գործադիր ուղեցույցը կենտրոնացած է այն բանի վրա, թե ինչպես զարգացնել կազմակերպությունը օպտիմալ արդյունավետության համար՝ Axis-ի բիզնես նպատակներին համապատասխան: Սրա կարևոր ներդրումն է SSG-ի կողմից իրականացվող ASDM կարգավիճակի հաշվետվությունը դեպի որոնվածը ղեկավարող խումբը, CTO-ն և արտադրանքի կառավարումը:
ASDM կարգավիճակի կառուցվածքը
ASDM կարգավիճակի կառուցվածքը երկու տեսանկյուն ունի՝ մեկ թիմային կենտրոն, որը նմանակում է մեր թիմին և ստորաբաժանման կառուցվածքին, և մեկ լուծում՝ կենտրոնացած շուկայական լուծումների վրա:
Ստորև բերված նկարը ցույց է տալիս ASDM կարգավիճակի կառուցվածքը:
Թիմի կարգավիճակը
Թիմի կարգավիճակը պարունակում է իր ASDM հասունության թիմի ինքնագնահատումը, դրանց անվտանգության վերլուծության գործողությունների հետ կապված չափանիշները, ինչպես նաև այն բաղադրիչների անվտանգության կարգավիճակի համախմբումը, որոնց համար նրանք պատասխանատու են:
Axis-ը սահմանում է ASDM հասունությունը որպես ASDM տարբերակ, որն այժմ օգտագործում է թիմը: Քանի որ ASDM-ը զարգանում է, մենք սահմանել ենք ASDM տարբերակում, որտեղ ASDM-ի յուրաքանչյուր տարբերակ պարունակում է գործունեության եզակի շարք: Նախample, ASDM-ի մեր առաջին տարբերակը կենտրոնացած է սպառնալիքների մոդելավորման վրա:
Axis-ը սահմանել է հետևյալ ASDM տարբերակները.
| ASDM տարբերակը | Նոր գործունեություն |
| ASDM 1.0 | Ռիսկերի գնահատում և սպառնալիքների մոդելավորում |
| ASDM 2.0 | Ստատիկ կոդը review |
| ASDM 2.1 | Գաղտնիություն՝ ըստ դիզայնի |
| ASDM 2.2 | Ծրագրաշարի կազմի վերլուծություն |
| ASDM 2.3 | Արտաքին ներթափանցման փորձարկում |
| ASDM 2.4 | Խոցելիության սկանավորում և հրդեհային փորվածք |
| ASDM 2.5 | Արտադրանքի/լուծման անվտանգության կարգավիճակը |
Թիմին տալով, թե որ ASDM տարբերակն են նրանք օգտագործում, նշանակում է, որ գծային մենեջերն է պատասխանատու ASDM նոր տարբերակների ընդունման համար: Այսպիսով, տեղադրման փոխարեն, որտեղ SSG-ն առաջ է մղում կենտրոնական ASDM-ի ներդրման պլանը, այն այժմ դառնում է ձգման վրա հիմնված և կառավարվող ղեկավարների կողմից:
Բաղադրիչի կարգավիճակը
- Մենք բաղադրիչի լայն սահմանում ունենք, քանի որ մենք պետք է ընդգրկենք բոլոր տեսակի ճարտարապետական սուբյեկտները՝ սկսած Linux-ի դևերից հարթակում, սերվերի ծրագրաշարի միջոցով մինչև ամպային (միկրո) ծառայություններ:
- Յուրաքանչյուր թիմ պետք է ինքնուրույն որոշում կայացնի աբստրակցիոն մակարդակի մասին, որն աշխատում է իր միջավայրում և ճարտարապետության մեջ: Որպես կանոն, թիմերը պետք է խուսափեն նոր վերացական մակարդակ հորինելուց և պահեն այն, ինչ արդեն օգտագործում են իրենց ամենօրյա աշխատանքում:
- Գաղափարն այն է, որ յուրաքանչյուր թիմ պետք է հստակ ունենա view դրանց բոլոր բարձր ռիսկային բաղադրիչները, որոնք ներառում են նոր, ինչպես նաև ժառանգական բաղադրիչներ: Հնացած բաղադրիչների նկատմամբ այս աճող հետաքրքրության դրդապատճառը կապված է լուծումների համար անվտանգության կարգավիճակը դիտարկելու մեր կարողության հետ: Լուծման դեպքում մենք ցանկանում ենք տեսանելի լինել լուծման բոլոր մասերի անվտանգության կարգավիճակը նոր, ինչպես նաև հին:
- Գործնականում դա նշանակում է, որ յուրաքանչյուր թիմ պետք է ուսումնասիրի իր բաղադրիչների գույքագրումը և կատարի ռիսկի գնահատում:
- Առաջին բանը, որ մենք պետք է իմանանք, այն է, թե արդյոք բաղադրիչը ենթարկվել է անվտանգության վերլուծության: Եթե դա չի եղել, մենք իսկապես ոչինչ չգիտենք բաղադրիչի անվտանգության որակի մասին:
Մենք այս գույքը անվանում ենք ծածկույթ և սահմանել ենք ծածկույթի հետևյալ մակարդակները.
| Ծածկույթ | Նկարագրություն |
| Վերլուծություն չի արվել | Բաղադրիչը դեռ չի վերլուծվել |
| Վերլուծությունը շարունակվում է | Բաղադրիչը վերլուծվում է |
| Կատարված վերլուծություն | Բաղադրիչը վերլուծվել է |
Չափիչները, որոնք մենք օգտագործում ենք բաղադրիչի անվտանգության որակը ֆիքսելու համար, հիմնված են պահեստում առկա անվտանգության աշխատանքային տարրերի վրա, որոնք կապված են բաղադրիչի հետ: Սա կարող է լինել հակաքայլեր, որոնք չեն իրականացվել, փորձնական դեպքեր, որոնք չեն իրականացվել և անվտանգության սխալներ, որոնք չեն լուծվել:
Լուծման կարգավիճակը
Լուծման կարգավիճակը միավորում է անվտանգության կարգավիճակը մի շարք բաղադրիչների համար, որոնք կազմում են լուծումը:
Լուծման կարգավիճակի առաջին մասը բաղադրիչների վերլուծության ծածկույթն է: Սա օգնում է լուծումների սեփականատերերին հասկանալ, թե արդյոք լուծման անվտանգության կարգավիճակը հայտնի է, թե ոչ: Մի տեսանկյունից այն օգնում է բացահայտել կույր կետերը: Լուծման մնացած կարգավիճակը պարունակում է չափումներ, որոնք արտացոլում են լուծման անվտանգության որակը: Մենք դա անում ենք՝ դիտարկելով անվտանգության աշխատանքային տարրերը, որոնք կապված են լուծման բաղադրիչների հետ: Անվտանգության կարգավիճակի կարևոր կողմը լուծումների սեփականատերերի կողմից սահմանված վրիպակների բարն է: Լուծումների սեփականատերերը պետք է սահմանեն համապատասխան անվտանգության մակարդակ իրենց լուծման համար: ՆախampՍա նշանակում է, որ լուծումը չպետք է ունենա ականավոր կրիտիկական կամ բարձր խստության աշխատանքային տարրեր, երբ շուկա դուրս գա:
ASDM գործունեությունը
Ռիսկերի գնահատում
Ռիսկերի գնահատման հիմնական նպատակը զտելն է, թե ինչ զարգացման գործողություններ, որոնք նույնպես կպահանջեն անվտանգության աշխատանք թիմի ներսում:
Ռիսկերի գնահատումը կատարվում է դատելով, թե արդյոք նոր արտադրանքը կամ առկա արտադրանքներում ավելացված/փոփոխված հատկանիշը մեծացնում է ռիսկի ենթարկվածությունը: Նկատի ունեցեք, որ սա ներառում է նաև տվյալների գաղտնիության ասպեկտները և համապատասխանության պահանջները: Օրինակ՝ampՓոփոխությունների, որոնք ունեն ռիսկի ազդեցություն, նոր API-ներ են, թույլտվության պահանջների փոփոխություններ, նոր միջին ծրագրակազմ և այլն:
Տվյալների գաղտնիություն
Վստահությունը առանցքային կենտրոն է Axis-ի համար և, որպես այդպիսին, կարևոր է հետևել լավագույն փորձին մեր արտադրանքի, լուծումների և ծառայությունների կողմից հավաքագրված մասնավոր տվյալների հետ աշխատելիս:
Տվյալների գաղտնիության հետ կապված Axis-ի ջանքերի շրջանակը սահմանվում է այնպես, որ մենք կարող ենք.
- Իրավական պարտավորությունների կատարում
- Կատարել պայմանագրային պարտավորությունները
- Օգնել հաճախորդներին կատարել իրենց պարտավորությունները
Մենք տվյալների գաղտնիության գործունեությունը բաժանում ենք երկու ենթագործունեության.
- Տվյալների գաղտնիության գնահատում
- Կատարված է ռիսկի գնահատման ժամանակ
- Որոշում է, թե արդյոք անհրաժեշտ է տվյալների գաղտնիության վերլուծություն
- Տվյալների գաղտնիության վերլուծություն
- Կատարված է, երբ կիրառելի է, սպառնալիքների մոդելավորման ժամանակ
- Նույնականացնում է անձնական տվյալները և անձնական տվյալներին սպառնացող վտանգները
- Սահմանում է գաղտնիության պահանջները
Սպառնալիքների մոդելավորում
Նախքան սկսենք բացահայտել սպառնալիքները, մենք պետք է որոշենք սպառնալիքների մոդելի շրջանակը: Շրջանակը հստակեցնելու միջոց է նկարագրել հարձակվողներին, որոնք մենք պետք է հաշվի առնենք: Այս մոտեցումը նաև թույլ կտա մեզ բացահայտել բարձր մակարդակի հարձակման մակերեսները, որոնք մենք պետք է ներառենք վերլուծության մեջ:
- Սպառնալիքների շրջանակի սահմանման ժամանակ ուշադրությունը կենտրոնանում է հարձակվողներին գտնելու և դասակարգելու վրա, որոնց հետ մենք ցանկանում ենք վարվել՝ օգտագործելով համակարգի բարձր մակարդակի նկարագրությունը: Ցանկալի է, որ նկարագրությունը կատարվի տվյալների հոսքի դիագրամի (DFD) միջոցով, քանի որ այն հեշտացնում է ավելի մանրամասն օգտագործման դեպքերի նկարագրությունները, որոնք օգտագործվում են սպառնալիքի մոդելը կատարելիս:
- Սա չի նշանակում, որ բոլոր հարձակվողները, որոնք մենք բացահայտում ենք, պետք է հաշվի առնվեն, դա պարզապես նշանակում է, որ մենք հստակ և հետևողական ենք հարձակվողներին, որոնց կանդրադառնանք սպառնալիքի մոդելում: Այսպիսով, ըստ էության, հարձակվողները, որոնք մենք ընտրում ենք դիտարկել, կսահմանեն մեր գնահատվող համակարգի անվտանգության մակարդակը:
Նկատի ունեցեք, որ հարձակվողի մեր նկարագրությունը չի ազդում հարձակվողի կարողությունների կամ մոտիվացիայի վրա: Մենք ընտրել ենք այս մոտեցումը՝ հնարավորինս պարզեցնելու և պարզեցնելու սպառնալիքների մոդելավորումը:
Սպառնալիքների մոդելավորումն ունի երեք քայլ, որոնք կարող են կրկնվել, քանի որ թիմը հարմար է գտնում.
- Նկարագրեք համակարգը՝ օգտագործելով DFD-ների մի շարք
- Օգտագործեք DFD-ները՝ բացահայտելու սպառնալիքները և նկարագրեք դրանք չարաշահման դեպքի ոճով
- 3. Սահմանել սպառնալիքների հակազդեցություն և ստուգում
Սպառնալիքների մոդելավորման գործունեության արդյունքը սպառնալիքների մոդելն է, որը պարունակում է առաջնահերթ սպառնալիքներ և հակաքայլեր: Հակամիջոցների լուծման համար անհրաժեշտ մշակման աշխատանքները կառավարվում են Jira տոմսերի ստեղծմամբ և՛ հակաքայլերի իրականացման, և՛ ստուգման համար:
Ստատիկ կոդի վերլուծություն
ASDM-ում թիմերը կարող են օգտագործել ստատիկ կոդի վերլուծություն երեք եղանակով.
- Մշակողի աշխատանքային հոսք. մշակողները վերլուծում են այն կոդը, որի վրա աշխատում են
- Gerrit աշխատանքային հոսք. ծրագրավորողները հետադարձ կապ են ստանում Gerrit-ում
- Ժառանգության աշխատանքային հոսք. թիմերը վերլուծում են բարձր ռիսկային ժառանգության բաղադրիչները
Խոցելիության սկանավորում
Խոցելիության կանոնավոր սկանավորումը թույլ է տալիս ծրագրավորող թիմերին հայտնաբերել և շտկել ծրագրային ապահովման խոցելիությունը նախքան արտադրանքը հանրության համար թողարկվելը՝ նվազեցնելով հաճախորդների ռիսկը արտադրանքը կամ ծառայությունը տեղակայելիս: Սկանավորումն իրականացվում է յուրաքանչյուր թողարկումից առաջ՝ սարքաշար, ծրագրաշար) կամ գործող ժամանակացույցով (ծառայությունների)՝ օգտագործելով և՛ բաց կոդով, և՛ առևտրային խոցելիության սկանավորման փաթեթները: Սկանավորման արդյունքներն օգտագործվում են Jira-ի թողարկման հետագծման հարթակում տոմսեր ստեղծելու համար: Տոմսերը տրվում են հատուկ tag մշակող թիմերի կողմից նույնականացնել որպես խոցելիության սկանավորման արդյունքում և որ նրանց պետք է բարձր առաջնահերթություն տրվի: Բոլոր խոցելիության սկանավորումները և Jira-ի տոմսերը պահվում են կենտրոնում՝ հետագծելիության և աուդիտի նպատակներով: Կարևորագույն խոցելիությունները պետք է լուծվեն նախքան թողարկումը կամ հատուկ ծառայության թողարկումում այլ, ոչ կարևոր խոցելիությունների հետ,
հետագծվել և լուծվել է որոնվածի կամ ծրագրաշարի թողարկման ցիկլի հետ համահունչ: Լրացուցիչ տեղեկություններ, թե ինչպես են խոցելիությունները գնահատվում և կառավարվում, տե՛ս Խոցելիության կառավարում էջ 12-ում
Արտաքին ներթափանցման փորձարկում
Ընտրված դեպքերում երրորդ կողմի ներթափանցման փորձարկումն իրականացվում է Axis ապարատային կամ ծրագրային արտադրանքի վրա: Այս թեստերի անցկացման հիմնական նպատակն է պատկերացում և հավաստիացում ապահովել պլատրոմի անվտանգության վերաբերյալ որոշակի ժամանակի և որոշակի շրջանակի համար: ASDM-ի հետ կապված մեր հիմնական նպատակներից մեկը թափանցիկությունն է, ուստի մենք խրախուսում ենք մեր հաճախորդներին կատարել արտաքին ներթափանցման թեստավորում մեր արտադրանքի վրա և ուրախ ենք համագործակցել թեստավորման համար համապատասխան պարամետրեր սահմանելիս, ինչպես նաև արդյունքների մեկնաբանման շուրջ քննարկումները:
Խոցելիության կառավարում
Axis-ը 2021 թվականից գրանցված CVE անվանման մարմին է (CNA) և, հետևաբար, կարող է հրապարակել ստանդարտ CVE հաշվետվություններ MITER տվյալների բազայում՝ երրորդ կողմի խոցելիության սկաներների և այլ գործիքների կողմից սպառման համար: Խոցելիության տախտակը (VB) արտաքին հետազոտողների կողմից հայտնաբերված խոցելիության ներքին առանցքի շփման կետն է: Հաշվետվություն
հայտնաբերված խոցելիությունները և հետագա վերականգնման ծրագրերը հաղորդվում են դրա միջոցով product-security@axis.com էլփոստի հասցեն:
Խոցելիության խորհրդի հիմնական պարտականությունն է վերլուծել և առաջնահերթություն տալ հաղորդված խոցելիությունները բիզնեսի տեսանկյունից՝ հիմնվելով.
- Տեխնիկական դասակարգումը, որը տրամադրվում է SSG-ի կողմից
- Հնարավոր ռիսկ վերջնական օգտագործողների համար այն միջավայրում, որտեղ գործում է Axis սարքը
- Անվտանգության փոխհատուցման վերահսկողության այլընտրանքային ռիսկի նվազեցում առանց կարկատելու)
VB-ն գրանցում է CVE համարը և աշխատում է թղթակցի հետ՝ խոցելիությանը CVSS միավոր նշանակելու համար: VB-ն նաև ապահովում է արտաքին հաղորդակցություն գործընկերների և հաճախորդների հետ Axis անվտանգության ծանուցման ծառայության, մամուլի հաղորդագրությունների և նորությունների հոդվածների միջոցով:
Axis Security Development Model © Axis Communications AB, 2022
Փաստաթղթեր / ռեսուրսներ
 | Անվտանգության զարգացման մոդելային ծրագրակազմ |
Հղումներ
- Օգտագործողի ձեռնարկmanual.tools