Lámhleabhar Úsáideora Bogearraí Múnla Forbartha Slándála AXIS

Bogearraí Múnla Forbartha Slándála AXIS

Réamhrá

Cuspóirí ASDM
Is creat é an Múnla Forbartha Slándála Ais (ASDM) a shainíonn an próiseas agus na huirlisí a úsáideann Axis chun bogearraí a thógáil le slándáil ionsuite ar feadh an saolré, ón tús go dtí an díchoimisiúnú.

Is iad na príomhchuspóirí a spreagann iarrachtaí ASDM

• Slándáil bogearraí a dhéanamh mar chuid chomhtháite de ghníomhaíochtaí forbartha bogearraí Axis.
• Rioscaí gnó a bhaineann le slándáil a laghdú do chustaiméirí Axis.
• Meet increasing awareness of security considerations by customers and partners.
• Poitéinseal a chruthú chun costais a laghdú mar gheall ar luathbhrath agus réiteach saincheisteanna
  Is éard atá i raon feidhme ASDM ná bogearraí Ais atá san áireamh i dtáirgí agus i réitigh Axis. Is é an Grúpa Slándála Bogearraí (SSG) úinéir agus coimeádaí an ASDM.

Gluais

ASDM os a chionnview

Cuimsíonn an ASDM roinnt gníomhaíochtaí scaipthe thar na mórchéimeanna forbartha. Aithnítear na gníomhaíochtaí slándála le chéile mar an ASDM.

The SSG is responsible for governing the ASDM and evolving the toolbox over time. There is an ASDM roadmap and a rollout plan for implementing new activities and increasing ASDM maturity across the development organization. Both the roadmap and rollout plan are owned by the SSG, but the responsibility for actual implementation in practice (i.e., performing activities related to development phases) is delegated to the R&D teams.

Grúpa Slándála Bogearraí (SSG)

Is é SSG an príomhaonán teagmhála inmheánach d’eagraíochtaí forbartha maidir le saincheisteanna a bhaineann le slándáil. Cuimsíonn sé Ceannairí Slándála agus daoine eile a bhfuil saineolas slándála speisialta acu i réimsí forbartha mar riachtanais, dearadh, feidhmiú, fíorú,
chomh maith le próisis trasfheidhmeacha DevOps.
Tá SSG freagrach as forbairt agus cothabháil an ASDM le haghaidh cleachtais forbartha slána agus feasacht slándála san eagraíocht forbartha.

Satailítí
Is baill den eagraíocht forbartha iad satailítí a chaitheann cuid dá gcuid ama ag obair le gnéithe slándála bogearraí. Is iad na cúiseanna atá le satailítí a bheith ann:

• Scála ASDM gan SSG mór lárnach a thógáil
• Tacaíocht ASDM a sholáthar gar do na foirne forbartha
• Éascú a dhéanamh ar roinnt eolais, m.sh. dea-chleachtais
  Cabhróidh satailít le gníomhaíochtaí nua a chur i bhfeidhm agus le cothabháil an ASDM i bhfo-thacar de na foirne forbartha.

Cur i bhfeidhm gníomhaíochta ASDM
Tá feidhmiú céimneach ASDM chuig foireann forbartha mar a bhítagpróiseas ed:

1. Cuirtear an ghníomhaíocht nua in aithne don fhoireann trí oiliúint a bhaineann go sonrach leis an ról.
2. Oibríonn SSG i gcomhar leis an bhfoireann chun an ghníomhaíocht a dhéanamh, m.sh., measúnú riosca nó samhaltú bagairtí, do chodanna roghnaithe den chóras nó de na córais atá á mbainistiú ag an bhfoireann.
3. Tabharfar tuilleadh gníomhaíochtaí a bhaineann le comhtháthú an bhosca uirlisí in obair laethúil don fhoireann agus don tsatailít nuair a bheidh siad réidh le bheith ag obair go neamhspleách gan baint dhíreach ag SSG leo. Sa chéim seo, tá an obair á rialú ag an mbainisteoir foirne tríd an stádas ASDM.
   Déantar an feidhmiú céimneach arís agus arís eile nuair a bhíonn leaganacha nua den ASDM ar fáil le gníomhaíochtaí modhnaithe agus/nó breisithe. Braitheann an méid ama a chaitheann SSG le foireann go mór ar ghníomhaíocht agus ar chastacht an chóid. Príomhfhachtóir le haistriú rathúil chuig an bhfoireann is ea satailít leabaithe a bheith ann ar féidir léi leanúint ar aghaidh le tuilleadh oibre ASDM leis an bhfoireann. Tiomáineann SSG foghlaim agus sannadh na satailíte ag an am céanna le feidhmiú céimneach na gníomhaíochta.
   Tugann an figiúr thíos achoimre ar mhodheolaíocht an rolladh amach.

   

Is é sainmhíniú SSG ar “déanta” le haghaidh aistrithe:

• Cuireadh oiliúint ar leith ar an ról
• Satailít sannta
• Tá an fhoireann réidh chun an ghníomhaíocht ASDM a dhéanamh
• Cruinnithe stádais ASDM athfhillteacha bunaithe
  Úsáideann SSG ionchur ó na foirne chun tuarascálacha stádais a chur le chéile don bhainistíocht shinsearach.

Gníomhaíochtaí SSG eile
Ag an am céanna le gníomhaíochtaí rolladh amach, seolann an SSG gníomhaíochtaí oiliúna feasachta slándála níos leithne a dhíríonn ar m.sh. fostaithe nua agus an bhainistíocht shinsearach. Ina theannta sin, coinníonn SSG léarscáil teasa slándála de réitigh Ais chun críocha measúnaithe riosca foriomlán/ailtireachta. Déantar gníomhaíochtaí anailíse slándála réamhghníomhacha do mhodúil ar leith bunaithe ar an léarscáil teasa.

Róil agus freagrachtaí
Mar a léirítear sa tábla thíos, tá roinnt eochair-eintiteas agus ról atá mar chuid den chlár ASDM. Tugann an tábla thíos achoimre ar róil agus ar fhreagrachtaí maidir leis an ASDM.

Rialachas ASDM

Tá na codanna seo a leanas sa chóras rialachais:

• Léarscáil teasa riosca córais chun cabhrú le gníomhaíochtaí ASDM a chur in ord tosaíochta
• Plean céimneach agus stádas chun díriú ar iarrachtaí oiliúna
• Treochlár chun an bosca uirlisí a fhorbairt
• Stádas chun a thomhas cé chomh maith agus a chomhtháthaítear gníomhaíochtaí ASDM san eagraíocht

Tacaítear leis an gcóras ASDM mar sin ó dhearcadh oirbheartaíochta/oibríochta agus ó pheirspictíocht straitéiseach/feidhmiúcháin araon.
Dírítear sa treoir feidhmiúcháin ar thaobh na láimhe deise san fhigiúr ar conas an eagraíocht a fhorbairt chun an éifeachtúlacht is fearr is féidir a bhaint amach de réir spriocanna gnó Axis. Ionchur tábhachtach chuige seo is ea an tuairisciú stádais ASDM a rinne an SSG i dtreo an Ghrúpa Stiúrtha Firmware, CTO agus Bainistíocht Táirge.

Struchtúr stádais ASDM

Tá dhá pheirspictíocht ag an struchtúr stádais ASDM: foireann-lárnach amháin ag déanamh aithrise ar ár bhfoireann agus ar struchtúr na roinne, agus ceann lárnach réitigh ag díriú ar na réitigh a thugaimid chuig an margadh.
Léiríonn an figiúr thíos struchtúr stádais ASDM.

Stádas foirne
Cuimsíonn stádas na foirne féinmheasúnú na foirne ar a aibíocht ASDM, méadracht a bhaineann lena ngníomhaíochtaí anailíse slándála chomh maith le comhiomlán ar stádas slándála na gcomhpháirteanna a bhfuil siad freagrach astu.

Sainmhíníonn Axis aibíocht ASDM mar an leagan ASDM a úsáideann an fhoireann faoi láthair. Ós rud é go bhfuil an ASDM ag teacht chun cinn, tá leagan ASDM sainmhínithe againn ina bhfuil sraith uathúil gníomhaíochtaí i ngach leagan den ASDM. Le haghaidh exampLe, tá ár gcéad leagan den ASDM dírithe ar shamhaltú bagairtí.
Tá na leaganacha ASDM seo a leanas sainmhínithe ag Axis:

Má thugtar úinéireacht na foirne ar an leagan ASDM a úsáideann siad, is é an bainisteoir líne atá freagrach as glacadh le leaganacha nua ASDM. Mar sin, in ionad socrú ina ndéanann SSG plean céimneach lárnach ASDM a bhrú chun cinn bíonn sé tarraingt-bhunaithe anois agus á rialú ag na bainisteoirí.

Stádas na Comhpháirte

• Tá sainmhíniú leathan againn ar chomhpháirt ós rud é go gcaithfimid gach cineál aonán ailtireachta a chlúdach ó dheamhain Linux san ardán, trí bhogearraí freastalaí an bealach ar fad go seirbhísí scamall (micrea).
• Caithfidh gach foireann a n-intinn féin a dhéanamh ar leibhéal astarraingthe a oibríonn dóibh ina dtimpeallacht agus ina n-ailtireacht. Mar riail ghinearálta, ba chóir go seachnódh foirne leibhéal nua astarraingthe a chumadh agus cibé rud atá in úsáid acu cheana féin a choinneáil ina gcuid oibre laethúil.
• Is é an smaoineamh gur chóir go mbeadh scéal soiléir ag gach foireann view as a gcomhpháirteanna ardriosca go léir, lena n-áirítear comhpháirteanna nua chomh maith le comhpháirteanna oidhreachta. Tá an spreagadh don spéis mhéadaithe seo i gcomhpháirteanna oidhreachta nasctha lenár gcumas féachaint ar an stádas slándála le haghaidh réitigh. I gcás réitigh, ba mhaith linn infheictheacht a bheith againn ar stádas slándála gach cuid den réiteach nua agus sean.
• Ciallaíonn sé seo go praiticiúil go gcaithfidh gach foireann breathnú ar a bhfardal comhpháirteanna agus measúnú riosca a dhéanamh.
• Is é an chéad rud is gá dúinn a fhios ná an bhfuil anailís slándála déanta ar an gcomhpháirt. Mura bhfuil, níl a fhios againn i ndáiríre faoi chaighdeán slándála an chomhpháirt.

Tugaimid clúdach maoine ar an maoin seo agus tá na leibhéil clúdaigh seo a leanas sainmhínithe againn:

Tá an mhéadracht a úsáidimid chun cáilíocht slándála na comhpháirte a ghabháil bunaithe ar na míreanna oibre slándála sa riaráiste atá nasctha leis an gcomhpháirt. Is féidir gur frithbhearta iad seo nár cuireadh i bhfeidhm, cásanna tástála nár cuireadh i gcrích agus fabhtanna slándála nár tugadh aghaidh orthu.

Stádas réitigh

Comhiomlaíonn an stádas réitigh stádas slándála do shraith comhpháirteanna a chuimsíonn an réiteach.
Is é an chéad chuid den stádas réitigh ná clúdach anailíse na gcomhpháirteanna. Cuidíonn sé seo le húinéirí réitigh a thuiscint an bhfuil stádas slándála an réitigh ar eolas nó mura bhfuil. I bpeirspictíocht amháin cabhraíonn sé leis na dallóga a aithint. Tá méadracht sa chuid eile den stádas réitigh a ghabhann le cáilíocht slándála an réitigh. Déanaimid é sin trí bhreathnú ar na míreanna oibre slándála atá nasctha leis na comhpháirteanna sa réiteach. Gné thábhachtach den stádas slándála is ea an barra fabht a shainíonn úinéirí an réitigh. Ní mór d'úinéirí an réitigh leibhéal slándála cuí a shainiú dá réiteach. Le haghaidh example, ciallaíonn sé seo nár cheart go mbeadh aon mhíreanna oibre ríthábhachtacha nó ard-dhéine gan íoc ag an réiteach nuair a scaoiltear chuig an margadh é.

Gníomhaíochtaí ASDM

Measúnú riosca
Is é an príomhchuspóir le measúnú riosca ná scagadh a dhéanamh ar na gníomhaíochtaí forbartha a mbeidh obair slándála ag teastáil uathu laistigh den fhoireann freisin.
Déantar measúnú riosca trí mheas an méadaítear an nochtadh riosca de bharr táirge nua nó gné bhreise/athraithe i dtáirgí atá ann cheana. Tabhair faoi deara go n-áirítear leis seo freisin gnéithe príobháideachta sonraí agus ceanglais chomhlíonta. exampis lú na n-athruithe a bhfuil tionchar riosca acu ná APIanna nua, athruithe ar cheanglais údaraithe, earraí meánacha nua, etc.

Príobháideacht sonraí
Is príomhréimse fócais é muinín do Axis agus, mar sin, tá sé tábhachtach na cleachtais is fearr a leanúint agus muid ag obair le sonraí príobháideacha a bhailíonn ár gcuid táirgí, réitigh agus seirbhísí.
Sainmhínítear scóip iarrachtaí Axis a bhaineann le príobháideacht sonraí ionas gur féidir linn:

• Oibleagáidí dlíthiúla a chomhlíonadh
• Oibleagáidí conartha a chomhlíonadh
• Cabhrú le custaiméirí a gcuid oibleagáidí a chomhlíonadh

Roinnimid an ghníomhaíocht príobháideachta sonraí ina dhá fho-ghníomhaíocht:

• Measúnú príobháideachta sonraí
  • Arna dhéanamh le linn measúnú riosca
  • Aithnítear an bhfuil gá le hanailís príobháideachta sonraí
•  Anailís príobháideachta sonraí
  • Arna dhéanamh, nuair is infheidhme, le linn samhaltú bagairtí
  • Aithníonn sonraí pearsanta agus bagairtí ar shonraí pearsanta
  • Sainmhíníonn ceanglais phríobháideachta

Samhaltú bagairt
Sula dtosaímid ag aithint bagairtí, ní mór dúinn cinneadh a dhéanamh maidir le raon feidhme na samhla bagairtí. Bealach chun an raon feidhme a chur in iúl is ea cur síos a dhéanamh ar na hionsaitheoirí nach mór dúinn a bhreithniú. Tabharfaidh an cur chuige seo deis dúinn freisin na dromchlaí ionsaithe ardleibhéil a chaithfimid a áireamh san anailís a aithint.

• Dírítear le linn scóipe bagairtí ar ionsaitheoirí a theastaíonn uainn a láimhseáil agus iad a chatagóiriú ag baint úsáide as cur síos ardleibhéil ar an gcóras. B’fhearr an cur síos a dhéanamh ag baint úsáide as léaráid sreafa sonraí (DFD) mar go ndéanann sé níos éasca na tuairiscí níos mionsonraithe ar chásanna úsáide a úsáidtear agus an tsamhail bhagairt á déanamh a cheangal.
• Ní chiallaíonn sé seo gur gá aird a thabhairt ar na hionsaitheoirí go léir a shainaithnímid, ciallaíonn sé go simplí go bhfuilimid soiléir agus comhsheasmhach maidir leis na hionsaitheoirí a dtabharfar aghaidh orthu sa tsamhail bhagairt. Mar sin, go bunúsach is iad na hionsaitheoirí a roghnóidh muid a shaineoidh leibhéal slándála an chórais atá á measúnú againn.
  Tabhair faoi deara nach gcuireann ár gcur síos ar an ionsaitheoir san áireamh cumais ná spreagadh an ionsaitheora. Tá an cur chuige seo roghnaithe againn chun samhaltú bagairtí a shimpliú agus a chuíchóiriú oiread agus is féidir.

  

Tá trí chéim ag baint le samhaltú bagairtí is féidir a lua mar is cuí leis an bhfoireann:

1. Déan cur síos ar an gcóras ag baint úsáide as sraith DFDs
2. Bain úsáid as na DFDanna le bagairtí a aithint agus le cur síos a dhéanamh orthu i stíl cás mí-úsáide
3. 3. Sainmhínigh frithbhearta agus fíorú na mbagairtí
   Is é an toradh a bhíonn ar ghníomhaíocht samhaltaithe bagairtí ná múnla bagairtí ina bhfuil bagairtí agus frithbhearta tosaíochta. Déantar obair fhorbartha a theastaíonn chun aghaidh a thabhairt ar fhrithbhearta a bhainistiú trí thicéid Jira a chruthú chun an frithbheart a chur i bhfeidhm agus a fhíorú.

   

Anailís cód statach
San ASDM, is féidir le foirne anailís ar chóid statach a úsáid ar thrí bhealach:

• Sreabhadh oibre an fhorbróra: déanann forbróirí anailís ar an gcód ar a bhfuil siad ag obair
• Sreabhadh oibre Gerrit: faigheann forbróirí aiseolas in Gerrit
• Sreabhadh oibre oidhreachta: déanann foirne anailís ar chomhpháirteanna oidhreachta ardriosca

  

Scanadh leochaileachta
Ligeann scanadh rialta leochaileachta d'fhoirne forbartha leochaileachtaí bogearraí a aithint agus a phaisteáil sula scaoiltear táirgí don phobal, rud a laghdóidh riosca na gcustaiméirí agus an táirge nó an tseirbhís á imscaradh. Déantar scanadh roimh gach crua-earraí, bogearraí) nó de réir sceidil reatha (seirbhísí) ag baint úsáide as pacáistí scanadh foinse oscailte agus leochaileachta tráchtála araon. Úsáidtear torthaí na scananna chun ticéid a ghiniúint in ardán rianaithe eisiúint Jira. Tugtar ticéid speisialta tag a bheith inaitheanta ag foirne forbartha mar nithe a thagann ó scanadh leochaileachta agus gur cheart tosaíocht ardaithe a thabhairt dóibh. Stóráiltear gach scanadh leochaileachta agus ticéid Jira go lárnach chun críocha inrianaitheachta agus iniúchta. Ba cheart leochaileachtaí criticiúla a réiteach roimh scaoileadh nó i scaoileadh seirbhíse speisialta le leochaileachtaí eile, neamhchriticiúil,
a rianú agus a réiteach ar aon dul leis an timthriall scaoileadh firmware nó bogearraí. kor tuilleadh eolais ar conas a dhéantar leochaileachtaí a scóráil agus a bhainistiú, féach Bainistíocht leochaileachta ar leathanach 12

Tástáil treá sheachtrach
I gcásanna roghnaithe, déantar tástáil threáite tríú páirtí ar chrua-earraí nó ar tháirgí bogearraí Axis. Is é príomhchuspóir reáchtáil na dtástálacha seo léargas agus dearbhú a thabhairt maidir le slándáil an ardáin ag pointe ama ar leith agus le haghaidh raon feidhme ar leith. Tá trédhearcacht ar cheann de na príomhspriocanna atá againn leis an ASDM agus mar sin spreagaimid ár gcustaiméirí tástáil threáite sheachtrach a dhéanamh ar ár gcuid táirgí agus táimid sásta oibriú i gcomhar le chéile agus paraiméadair chuí á sainiú le haghaidh tástála chomh maith le plé ar léirmhíniú na dtorthaí.

Bainistíocht leochaileachta
Tá Axis, ó 2021, ina údarás ainmniúcháin CVE cláraithe (CNA) agus mar sin tá sé in ann tuarascálacha caighdeánacha CVE a fhoilsiú chuig an mbunachar sonraí MITER lena n-úsáid ag scanóirí leochaileachta tríú páirtí agus ag uirlisí eile. Is é an bord leochaileachta (VB) an pointe teagmhála inmheánach Ais le haghaidh leochaileachtaí a aimsíonn taighdeoirí seachtracha. Tuairisciú ar
leochaileachtaí a aimsítear agus cuirtear pleananna feabhais ina dhiaidh sin in iúl tríd an product-security@axis.com seoladh ríomhphoist.
Is é príomhfhreagracht an bhoird leochaileachta anailís a dhéanamh agus tosaíocht a thabhairt do leochaileachtaí tuairiscithe ó thaobh gnó de, bunaithe ar

• Aicmiú teicniúil arna sholáthar ag an SSG
• Riosca féideartha d’úsáideoirí deiridh sa timpeallacht ina n-oibríonn an fheiste Ais
• Infhaighteacht rialuithe slándála cúitimh maolú riosca malartach gan paiste)

Cláraíonn an VB an uimhir CVE agus oibríonn sé leis an tuairisceoir chun scór CVSS a shannadh don leochaileacht. Tiomáineann an VB cumarsáid sheachtrach freisin chuig comhpháirtithe agus custaiméirí trí sheirbhís fógra slándála Axis, preaseisiúintí, agus ailt nuachta.

Múnla Forbartha Slándála Ais © Axis Communications AB, 2022