ይዘቶች መደበቅ
1 AXIS የደህንነት ልማት ሞዴል ሶፍትዌር
2 መግቢያ
3 መዝገበ ቃላት
4 ASDM አልቋልview
5 የሶፍትዌር ደህንነት ቡድን (SSG)
6 ASDM አስተዳደር
7 ASDM ሁኔታ መዋቅር
8 የአካል ሁኔታ
9 የመፍትሄ ሁኔታ
10 ASDM እንቅስቃሴዎች
11 ሰነዶች / መርጃዎች
11.1 ዋቢዎች
12 ተዛማጅ ልጥፎች

AXIS - አርማ

AXIS የደህንነት ልማት ሞዴል ሶፍትዌር

AXIS የደህንነት ልማት ሞዴል ሶፍትዌር-fig1

መግቢያ

የ ASDM ዓላማዎች
የአክሲስ ሴኪዩሪቲ ልማት ሞዴል (ኤኤስዲኤም) በህይወት ዑደቱ በሙሉ አብሮ የተሰራውን ሶፍትዌሮችን ከመመስረት ጀምሮ እስከ ማሰናከል ድረስ አክሲስ የሚጠቀምበትን ሂደት እና መሳሪያዎችን የሚገልጽ ማዕቀፍ ነው።

የ ASDM ጥረቶችን የሚያንቀሳቅሱት ዋና አላማዎች ናቸው።

  • የሶፍትዌር ደህንነት የአክሲስ ሶፍትዌር ልማት እንቅስቃሴዎች የተቀናጀ አካል ያድርጉ።
  • ለአክሲስ ደንበኞች ከደህንነት ጋር የተያያዙ የንግድ አደጋዎችን ይቀንሱ።
  • Meet increasing awareness of security considerations by customers and partners.
  • ለችግሮች ቀደም ብሎ በማወቅ እና በመፍታት ምክንያት ለዋጋ ቅነሳ አቅም ይፍጠሩ
    የ ASDM ወሰን በአክሲስ ምርቶች እና መፍትሄዎች ውስጥ የተካተተ የአክሲስ ሶፍትዌር ነው። የሶፍትዌር ደህንነት ቡድን (SSG) የ ASDM ባለቤት እና ጠባቂ ነው።

መዝገበ ቃላት

ASDM የአክሲስ ደህንነት ልማት ሞዴል
ኤስ.ኤስ.ጂ የሶፍትዌር ደህንነት ቡድን
Firmware መሪነት ቡድን የ R&D አስተዳደር
ሳተላይት ለሶፍትዌር ደህንነት ተፈጥሯዊ ቅርበት ያላቸው ገንቢዎች
ተጋላጭነት ሰሌዳ በውጫዊ ተመራማሪዎች ከተገኙ ተጋላጭነቶች ጋር በተያያዘ የአክሲስ መገናኛ ነጥብ
የሳንካ አሞሌ ለአንድ ምርት ወይም መፍትሄ የደህንነት ዒላማ
ዲኤፍዲ የውሂብ ፍሰት ንድፍ

ASDM አልቋልview

ASDM በዋና ዋና የእድገት ደረጃዎች ውስጥ የተዘረጉ በርካታ ተግባራትን ያካትታል። የደህንነት ተግባራቶቹ በጋራ ASDM በመባል ይታወቃሉ።

AXIS የደህንነት ልማት ሞዴል ሶፍትዌር-fig3

The SSG is responsible for governing the ASDM and evolving the toolbox over time. There is an ASDM roadmap and a rollout plan for implementing new activities and increasing ASDM maturity across the development organization. Both the roadmap and rollout plan are owned by the SSG, but the responsibility for actual implementation in practice (i.e., performing activities related to development phases) is delegated to the R&D teams.

የሶፍትዌር ደህንነት ቡድን (SSG)

SSG ከደህንነት ጋር በተያያዙ ጉዳዮች ለልማት ድርጅቶች ዋና የውስጥ ግንኙነት አካል ነው። እንደ መስፈርቶች፣ ዲዛይን፣ አተገባበር፣ ማረጋገጫ፣ በመሳሰሉት የልማት መስኮች የሴኪዩሪቲ መሪዎችን እና ልዩ የደህንነት እውቀት ያላቸውን ሌሎች ያካትታል።
እንዲሁም ተሻጋሪ የ DevOps ሂደቶች.
SSG በልማት ድርጅት ውስጥ አስተማማኝ የልማት ልምዶችን እና የደህንነት ግንዛቤን ለ ASDM ልማት እና ጥገና ኃላፊነት አለበት.

ሳተላይቶች
ሳተላይቶች የተወሰነ ጊዜያቸውን ከሶፍትዌር ደህንነት ገጽታዎች ጋር በመስራት የሚያሳልፉ የልማት ድርጅት አባላት ናቸው። ሳተላይቶች እንዲኖሩ የሚያደርጉ ምክንያቶች፡-

  • ትልቅ ማዕከላዊ SSG ሳይገነቡ ASDMን ያስሱ
  • ለልማት ቡድኖቹ ቅርብ የሆነ የASDM ድጋፍ ያቅርቡ
  • የእውቀት መጋራትን ማመቻቸት፣ ለምሳሌ፣ ምርጥ ልምዶች
    ሳተላይት አዳዲስ ተግባራትን በመተግበር እና ASDMን በልማት ቡድኖች ንዑስ ክፍል ውስጥ ለማቆየት ይረዳል።

የ ASDM እንቅስቃሴ ልቀት
የ ASDM እንቅስቃሴ ወደ ልማት ቡድን መልቀቅ እንደ ነው።taged ሂደት:

  1. ቡድኑ ከአዲሱ ተግባር ጋር የሚተዋወቀው በሚና-ተኮር ስልጠና ነው።
  2. SSG ከቡድኑ ጋር በመሆን በቡድኑ የሚተዳደረውን ስርዓት(ዎች) ክፍሎች ለምሳሌ የአደጋ ግምገማ ወይም የማስፈራሪያ ሞዴል ለመስራት ይሰራል።
  3. የመሳሪያ ሳጥኑን በዕለት ተዕለት ሥራ ውስጥ ከማዋሃድ ጋር የተያያዙ ተጨማሪ ተግባራት ለቡድኑ እና ለሳተላይት በቀጥታ የኤስኤስጂ ተሳትፎ ሳይኖራቸው በተናጥል ለመሥራት ዝግጁ ሲሆኑ ይተላለፋሉ. በዚህ ደረጃ፣ ስራው የሚተዳደረው በ ASDM ሁኔታ በኩል በቡድን አስተዳዳሪ ነው።
    ልቀቱ የሚደገመው አዲስ የኤኤስዲኤም ስሪቶች ከተሻሻሉ እና/ወይም ከተጨመሩ እንቅስቃሴዎች ጋር ሲገኙ ነው። SSG ከቡድን ጋር የሚያሳልፈው ጊዜ በእንቅስቃሴው እና በኮድ ውስብስብነት ላይ በጣም ጥገኛ ነው። ለስኬታማው ቡድን ለማስረከብ ዋናው ምክንያት ከቡድኑ ጋር ተጨማሪ የኤኤስዲኤም ስራን ሊቀጥል የሚችል የተከተተ ሳተላይት መኖር ነው። SSG ከእንቅስቃሴ ልቀት ጋር በትይዩ የሳተላይቱን ትምህርት እና ምደባ ያንቀሳቅሳል።
    ከታች ያለው ምስል የልቀት ዘዴን ያጠቃልላል።

    AXIS የደህንነት ልማት ሞዴል ሶፍትዌር-fig4

የኤስኤስጂ ትርጉም “ተከናውኗል” የሚለው ርክክብ የሚከተለው ነው፡-

  • የሚና ልዩ ስልጠና ተከናውኗል
  • ሳተላይት ተመድቧል
  • ቡድኑ የ ASDM እንቅስቃሴን ለማከናወን ዝግጁ ነው።
  • ተደጋጋሚ የኤኤስዲኤም ሁኔታ ስብሰባዎች ተመስርተዋል።
    SSG ለከፍተኛ አመራር የሁኔታ ሪፖርቶችን ለመሰብሰብ ከቡድኖቹ ግብዓት ይጠቀማል።

ሌሎች SSG እንቅስቃሴዎች
ከታቀፉ ተግባራት ጋር በትይዩ፣ SSG ሰፋ ያለ የፀጥታ የግንዛቤ ማስጨበጫ ስልጠና ተግባራትን ለምሳሌ አዳዲስ ሰራተኞችን እና ከፍተኛ አመራሮችን ኢላማ ያደርጋል። በተጨማሪም፣ SSG ለአጠቃላይ/ሥነ ሕንፃ ስጋት ግምገማ ዓላማዎች የአክሲስ መፍትሄዎችን የደህንነት ካርታ ይይዛል። በሙቀት ካርታ ላይ በመመርኮዝ ለተወሰኑ ሞጁሎች ንቁ የደህንነት ትንተና እንቅስቃሴዎች ይከናወናሉ.

ሚናዎች እና ኃላፊነቶች
ከታች ባለው ሠንጠረዥ ላይ እንደሚታየው የ ASDM ፕሮግራም አካል የሆኑ አንዳንድ ቁልፍ አካላት እና ሚናዎች አሉ። ከዚህ በታች ያለው ሰንጠረዥ ከ ASDM ጋር በተገናኘ ሚናዎችን እና ኃላፊነቶችን ያጠቃልላል።

ሚና/ አካል ከፊል ኃላፊነት አስተያየት
የደህንነት ባለሙያ ኤስ.ኤስ.ጂ የሚተዳደረው ASDM፣ የመሳሪያ ሳጥኑን በዝግመተ ለውጥ እና ASDM መልቀቅን ያሽከርክሩ 100% ለ SSG ተመድቧል
ሳተላይት የእድገት መስመር ASDMን ለመጀመሪያ ጊዜ እንዲተገበር SSG ይርዱት፣ ቡድኖችን አሠልጥነዋል፣ ስልጠናዎችን እንዲሰጡ እና ቡድኑ ከSSG ተነጥሎ የእለት ተእለት ስራ አካል ሆኖ የመሳሪያ ሳጥን መጠቀሙን እንዲቀጥል ያረጋግጡ። የቡድን አቋራጭ ሃላፊነት (በርካታ ቡድኖች) አጠቃላይ የሳተላይቶችን ብዛት ለመገደብ ያስፈልጋል። ፍላጎት ያላቸው እና የተሰማሩ ገንቢዎች፣ አርክቴክቶች፣ አስተዳዳሪዎች፣ ሞካሪዎች እና ተመሳሳይ ሚናዎች ለሶፍትዌር ደህንነት ተፈጥሯዊ ቅርበት ያላቸው። ሳተላይቶች ቢያንስ 20% ጊዜያቸውን ለASDM ተዛማጅ ስራዎች ይመድባሉ።
አስተዳዳሪዎች የእድገት መስመር የ ASDM ልምምዶችን ለማስፈጸም አስተማማኝ ግብዓቶችን ያስቀምጡ። በ ASDM ሁኔታ እና ሽፋን ላይ መከታተል እና ሪፖርት ማድረግ። የልማት ቡድኖች የኤኤስዲኤም ትግበራ በባለቤትነት፣ SSG እንደ የድጋፍ ምንጭ።
Firmware Steering Group (FW SG) የ R&D አስተዳደር በደህንነት ስትራቴጂ ላይ ይወስናል እና እንደ ዋና የኤስኤስጂ ሪፖርት ማድረጊያ ጣቢያ ይሰራል። SSG በየጊዜው ለFW SG ሪፖርት ያደርጋል።

ASDM አስተዳደር

የአስተዳደር ሥርዓቱ የሚከተሉትን ክፍሎች ያቀፈ ነው-

  • ለASDM እንቅስቃሴዎች ቅድሚያ ለመስጠት የስርዓት ስጋት የሙቀት ካርታ
  • በስልጠና ጥረቶች ላይ ለማተኮር የታቀደ እቅድ እና ደረጃ
  • የመሳሪያ ሳጥኑን ለማሻሻል የመንገድ ካርታ
  • የ ASDM እንቅስቃሴዎች በድርጅቱ ውስጥ ምን ያህል የተዋሃዱ መሆናቸውን ለመለካት ሁኔታ

የ ASDM ስርዓት ከሁለቱም ታክቲካል/አሰራር እይታ እንዲሁም ከስልታዊ/አስፈፃሚ አንፃር ይደገፋል።
በሥዕሉ ላይ በቀኝ በኩል ያለው የአስፈፃሚ መመሪያ ከአክሲስ የንግድ ግቦች ጋር በተጣጣመ መልኩ ድርጅቱን ለተሻለ ውጤታማነት እንዴት ማዳበር እንደሚቻል ላይ ያተኩራል። ለዚህ አስፈላጊ ግቤት በSSG ወደ Firmware Steering Group፣ CTO እና የምርት አስተዳደር የሚደረገው የ ASDM ሁኔታ ሪፖርት ማድረግ ነው።

AXIS የደህንነት ልማት ሞዴል ሶፍትዌር-fig5

ASDM ሁኔታ መዋቅር

የ ASDM ሁኔታ አወቃቀር ሁለት አመለካከቶች አሉት፡ አንድ ቡድን ያማከለ የቡድናችንን እና የመምሪያውን መዋቅር በመኮረጅ እና አንድ የመፍትሄ ማእከል ለገበያ በምናመጣቸው መፍትሄዎች ላይ ያተኩራል።
ከታች ያለው ምስል የ ASDM ሁኔታን አወቃቀር ያሳያል።

የቡድን ሁኔታ
የቡድን ሁኔታ የቡድኑን የ ASDM ብስለትን በራስ መገምገም፣ ከደህንነት ትንተና ተግባራቶቻቸው ጋር የተያያዙ መለኪያዎች እና ኃላፊነት የሚወስዱባቸውን ክፍሎች የደህንነት ሁኔታ ማጠቃለልን ይዟል።

AXIS የደህንነት ልማት ሞዴል ሶፍትዌር-fig6

Axis የኤኤስዲኤም ብስለትን የሚገልጸው ቡድኑ በአሁኑ ጊዜ የሚጠቀመው ASDM ስሪት ነው። ASDM እየተሻሻለ ስለሆነ እያንዳንዱ የኤኤስዲኤም እትም ልዩ የተግባር ስብስቦችን የያዘበትን የ ASDM እትም ገልፀነዋል። ለ example፣የእኛ የመጀመሪያው የኤኤስዲኤም እትም በአስጊ ሞዴሊንግ ላይ ያተኮረ ነው።
Axis የሚከተሉትን ASDM ስሪቶች ገልጿል።

የ ASDM ስሪት አዳዲስ እንቅስቃሴዎች
ASDM 1.0 የአደጋ ግምገማ እና የማስፈራሪያ ሞዴል
ASDM 2.0 የማይንቀሳቀስ ኮድ ዳግምview
ASDM 2.1 ግላዊነት በንድፍ
ASDM 2.2 የሶፍትዌር ቅንብር ትንተና
ASDM 2.3 የውጭ የመግቢያ ሙከራ
ASDM 2.4 የተጋላጭነት ቅኝት እና የእሳት መሰርሰሪያ
ASDM 2.5 የምርት/የመፍትሄ ደህንነት ሁኔታ

የትኛውን የ ASDM ሥሪት የሚጠቀሙበት የቡድን ባለቤትነት መስጠት ማለት አዲስ የ ASDM ስሪቶችን የማጽደቅ ኃላፊነት ያለበት የመስመር አስተዳዳሪው ነው ማለት ነው። ስለዚህ SSG ማዕከላዊ የኤኤስዲኤም ልቀት ዕቅድን ከሚገፋበት ማዋቀር ይልቅ አሁን በመጎተት ላይ የተመሰረተ እና በአስተዳዳሪዎች ቁጥጥር የሚደረግበት ይሆናል።

የአካል ሁኔታ

  • ከሊኑክስ ሰይጣኖች ጀምሮ በመድረክ ውስጥ በአገልጋይ ሶፍትዌር አማካኝነት እስከ ደመና (ማይክሮ) አገልግሎቶች ድረስ ያሉትን ሁሉንም ዓይነት የሕንፃ አካላትን መሸፈን ስላለብን ሰፋ ያለ የመለዋወጫ ፍቺ አለን።
  • እያንዳንዱ ቡድን በአካባቢያቸው እና በሥነ ሕንፃ ውስጥ ለእነሱ የሚሰራ የአብስትራክሽን ደረጃ የራሱን ሀሳብ ማዘጋጀት አለበት። እንደ አንድ ደንብ፣ ቡድኖች አዲስ የአብስትራክሽን ደረጃን ከመፍጠር መቆጠብ እና ቀድሞውንም በዕለት ተዕለት ሥራቸው የሚጠቀሙትን ማቆየት አለባቸው።
  • ሃሳቡ እያንዳንዱ ቡድን ግልጽ መሆን አለበት view አዳዲስ እና የቆዩ አካላትን የሚያካትት ከሁሉም ከፍተኛ ተጋላጭነት ክፍሎቻቸው። የዚህ ለቅርስ አካላት ፍላጎት መጨመር መነሳሳት የመፍትሄዎችን የደህንነት ሁኔታ ከመመልከት ችሎታ ጋር የተያያዘ ነው። በመፍትሔው ጉዳይ ላይ የሁሉንም የመፍትሄው ክፍሎች የደህንነት ሁኔታ አዲስም ሆነ አሮጌ ታይነት እንዲኖረን እንፈልጋለን።
  • በተግባር ይህ ማለት እያንዳንዱ ቡድን የእቃዎቻቸውን ዝርዝር መመልከት እና የአደጋ ግምገማ ማድረግ አለበት ማለት ነው።
  • ማወቅ ያለብን የመጀመሪያው ነገር ክፍሉ የደህንነት ትንታኔ ወስዶ እንደሆነ ነው. ካልሆነ፣ ስለ ክፍሉ ደህንነት ጥራት ምንም የምናውቀው ነገር የለም።

ይህንን የንብረት ሽፋን ብለን እንጠራዋለን እና የሚከተሉትን የሽፋን ደረጃዎች ገልጸናል፡

ሽፋን መግለጫ
ትንታኔ አልተሰራም። ክፍሉ ገና አልተተነተነም።
ትንታኔ በመካሄድ ላይ ነው። ክፍሉ እየተተነተነ ነው።
ትንተና ተከናውኗል ክፍሉ ተንትኗል

የክፍሉን የደህንነት ጥራት ለመያዝ የምንጠቀምባቸው መለኪያዎች ከክፍሎቹ ጋር በተያያዙት በመጠባበቂያው ውስጥ ባለው የደህንነት ስራ እቃዎች ላይ የተመሰረቱ ናቸው. ይህ ያልተተገበሩ የመከላከያ እርምጃዎች፣ ያልተፈፀሙ የሙከራ ጉዳዮች እና ያልተፈቱ የደህንነት ስህተቶች ሊሆኑ ይችላሉ።

የመፍትሄ ሁኔታ

የመፍትሄው ሁኔታ የመፍትሄውን ስብስብ ለሚያካትቱ አካላት ስብስብ የደህንነት ሁኔታን ያጠቃለለ ነው።
የመፍትሄው ሁኔታ የመጀመሪያው ክፍል የአካል ክፍሎች ትንተና ሽፋን ነው. ይህ የመፍትሄው ባለቤቶች የመፍትሄው ደህንነት ሁኔታ የሚታወቅ ወይም የማይታወቅ ከሆነ እንዲረዱ ያግዛል። በአንድ እይታ ዓይነ ስውራንን ለመለየት ይረዳል. የተቀረው የመፍትሄ ሁኔታ የመፍትሄውን የደህንነት ጥራት የሚይዙ መለኪያዎችን ይዟል። እኛ የምንሰራው በመፍትሔው ውስጥ ከሚገኙት ክፍሎች ጋር የተገናኙትን የደህንነት ስራዎች እቃዎች በመመልከት ነው. የደህንነት ሁኔታ አስፈላጊ ገጽታ በመፍትሔ ባለቤቶች የተገለጸው የሳንካ አሞሌ ነው። የመፍትሄው ባለቤቶች ለመፍትሄያቸው ተገቢውን የደህንነት ደረጃ መግለጽ አለባቸው። ለ example፣ ይህ ማለት መፍትሄው ለገበያ በሚለቀቅበት ጊዜ ምንም ልዩ ወሳኝ ወይም ከፍተኛ ክብደት ያላቸው የስራ እቃዎች ሊኖሩት አይገባም።

ASDM እንቅስቃሴዎች

የአደጋ ግምገማ
ከአደጋ ግምገማ ጋር ያለው ዋና ዓላማ በቡድኑ ውስጥ የደህንነት ስራ የሚጠይቁትን የትኞቹን የልማት ተግባራት ማጣራት ነው።
የአደጋ ግምገማ የሚከናወነው በነባር ምርቶች ውስጥ አዲስ ምርት ወይም የተጨመረ/የተሻሻለ ባህሪ የአደጋ ተጋላጭነትን ከፍ የሚያደርገው ከሆነ በመመዘን ነው። ይህ የውሂብ ግላዊነት ገጽታዎችን እና የተገዢነት መስፈርቶችንም እንደሚያካትት ልብ ይበሉ። ምሳሌampየአደጋ ተጽዕኖ ከሚያሳድሩ ለውጦች መካከል አዲስ ኤፒአይዎች፣ የፍቃድ መስፈርቶች ለውጦች፣ አዲስ መካከለኛ ዌር፣ ወዘተ ናቸው።

የውሂብ ግላዊነት
መተማመን ለአክሲስ ቁልፍ የትኩረት ቦታ ነው እና እንደዛውም በእኛ ምርቶች፣ መፍትሄዎች እና አገልግሎቶች ከተሰበሰበ የግል መረጃ ጋር ስንሰራ ምርጥ ልምዶችን መከተል አስፈላጊ ነው።
ከውሂብ ግላዊነት ጋር የተገናኘ የአክሲስ ጥረቶች ወሰን እንደሚከተለው ተብራርቷል፡-

  • ህጋዊ ግዴታዎችን መወጣት
  • የውል ግዴታዎችን መወጣት
  • ደንበኞች ግዴታቸውን እንዲወጡ እርዷቸው

የውሂብ ግላዊነት እንቅስቃሴን በሁለት ንዑስ ተግባራት እንከፍላለን፡-

  • የውሂብ ግላዊነት ግምገማ
    • በአደጋ ግምገማ ወቅት ተከናውኗል
    • የውሂብ ግላዊነት ትንተና የሚያስፈልግ ከሆነ ይለያል
  •  የውሂብ ግላዊነት ትንተና
    • ተከናውኗል፣ ሲተገበር፣ በአስጊ ሞዴሊንግ ጊዜ
    • የግል ውሂብን እና ለግል ውሂብ ስጋቶችን ይለያል
    • የግላዊነት መስፈርቶችን ይገልጻል

ማስፈራሪያ ሞዴሊንግ
ማስፈራሪያዎችን መለየት ከመጀመራችን በፊት የአደጋውን ሞዴል ስፋት መወሰን ያስፈልገናል. ስፋቱን የመግለፅ መንገድ ልንመለከታቸው የሚገቡን አጥቂዎችን መግለጽ ነው። ይህ አካሄድ በመተንተን ውስጥ ማካተት ያለብንን ከፍተኛ ደረጃ ያላቸውን የጥቃት ንጣፎችን እንድንለይ ያስችለናል።

AXIS የደህንነት ልማት ሞዴል ሶፍትዌር-fig7

  • በአስጊ ሁኔታ ላይ ትኩረት ማድረግ የስርዓቱን ከፍተኛ ደረጃ መግለጫ በመጠቀም ልናስተናግዳቸው የምንፈልጋቸውን አጥቂዎች መፈለግ እና መከፋፈል ላይ ነው። የአደጋውን ሞዴል በሚሰሩበት ጊዜ ጥቅም ላይ የሚውሉትን የበለጠ ዝርዝር የአጠቃቀም ሁኔታ መግለጫዎችን ማገናኘት ቀላል ስለሚያደርግ መግለጫው በዳታ ፍሰት ዲያግራም (ዲኤፍዲ) በመጠቀም መደረጉ ተመራጭ ነው።
  • ይህ ማለት ግን እኛ የምንላቸው አጥቂዎች ሁሉ ግምት ውስጥ መግባት አለባቸው ማለት አይደለም ፣በአስጊ ሁኔታ ሞዴል ውስጥ የምንመለከታቸው አጥቂዎች ላይ ግልፅ እና ወጥ ነን ማለት ነው። ስለዚህ፣ በዋናነት ልንመረምራቸው የመረጥናቸው አጥቂዎች የምንገመግመውን የስርዓት ደህንነት ደረጃ ይገልፃሉ።
    የእኛ የአጥቂ መግለጫ በአጥቂ ችሎታዎች እና ተነሳሽነት ላይ ምንም ተጽእኖ እንደሌለው ልብ ይበሉ። በተቻለ መጠን አስጊ ሞዴሊንግ ለማቃለል እና ለማቀላጠፍ ይህንን አካሄድ መርጠናል።

    AXIS የደህንነት ልማት ሞዴል ሶፍትዌር-fig8

አስጊ ሞዴሊንግ ቡድኑ እንደፈለገ ሊደገም የሚችል ሶስት እርከኖች አሉት።

  1. የዲኤፍዲዎች ስብስብ በመጠቀም ስርዓቱን ይግለጹ
  2. ማስፈራሪያዎችን ለመለየት እና እነሱን በአላግባብ መጠቀም ስልት ለመግለጽ ዲኤፍዲዎችን ይጠቀሙ
  3. 3. ለአደጋዎቹ የመከላከያ እርምጃዎችን እና ማረጋገጫን ይግለጹ
    የማስፈራሪያ ሞዴሊንግ እንቅስቃሴ ውጤቱ ቅድሚያ የተሰጣቸው ማስፈራሪያዎችን እና የመከላከያ እርምጃዎችን የያዘ የማስፈራሪያ ሞዴል ነው። የመከላከያ እርምጃዎችን ለመቅረፍ የሚያስፈልገው የልማት ሥራ የሚተዳደረው የጂራ ትኬቶችን በመፍጠር ለትግበራውም ሆነ ለመቁጠሪያው ማረጋገጫ ነው።

    AXIS የደህንነት ልማት ሞዴል ሶፍትዌር-fig9

የማይንቀሳቀስ ኮድ ትንተና
በASDM ውስጥ፣ ቡድኖች የማይንቀሳቀስ ኮድ ትንታኔን በሶስት መንገዶች መጠቀም ይችላሉ።

  • የገንቢ የስራ ፍሰት፡ ገንቢዎች እየሰሩበት ያለውን ኮድ ይመረምራሉ
  • Gerrit የስራ ፍሰት፡ ገንቢዎች በጌሪት ውስጥ ግብረ መልስ ያገኛሉ
  • የቆየ የስራ ሂደት፡ ቡድኖች ከፍተኛ የአደጋ ቅርስ ክፍሎችን ይመረምራሉ

    AXIS የደህንነት ልማት ሞዴል ሶፍትዌር-fig10

የተጋላጭነት ቅኝት
አዘውትሮ የተጋላጭነት ቅኝት ልማት ቡድኖቹ ምርቶች ለህዝብ ከመለቀቃቸው በፊት የሶፍትዌር ተጋላጭነቶችን እንዲለዩ እና እንዲያስተካክሉ ያስችላቸዋል፣ ይህም ደንበኞቹን ምርቱን ወይም አገልግሎቱን ሲያሰማራ ያለውን ስጋት ይቀንሳል። ቅኝት የሚከናወነው ከእያንዳንዱ ልቀት ሃርድዌር፣ ሶፍትዌር) በፊት ወይም በሩጫ መርሃ ግብር (አገልግሎቶች) ላይ ሁለቱንም ክፍት ምንጭ እና የንግድ የተጋላጭነት ቅኝት ጥቅሎችን በመጠቀም ነው። የፍተሻዎቹ ውጤቶች በጂራ ጉዳይ መከታተያ መድረክ ላይ ትኬቶችን ለማምረት ያገለግላሉ። ቲኬቶች ልዩ ተሰጥተዋል tag ከተጋላጭነት ቅኝት እንደመጣ በልማት ቡድኖች ተለይተው እንዲታወቁ እና ከፍ ያለ ቅድሚያ ሊሰጣቸው ይገባል. ሁሉም የተጋላጭነት ቅኝቶች እና የጂራ ቲኬቶች በማዕከላዊነት ለክትትልና ለኦዲት ዓላማዎች ተቀምጠዋል። ወሳኝ ድክመቶች ከመልቀቃቸው በፊት ወይም በልዩ አገልግሎት መለቀቅ ከሌሎች ወሳኝ ካልሆኑ ተጋላጭነቶች ጋር፣
ተከታትሎ እና ተፈትቷል ከ firmware ወይም ከሶፍትዌር መልቀቂያ ዑደት ጋር አሰላለፍ። ተጋላጭነቶች እንዴት እንደሚመዘኑ እና እንደሚተዳደሩ ተጨማሪ መረጃ፣ የተጋላጭነት አስተዳደርን በገጽ 12 ላይ ይመልከቱ።

የውጭ የመግቢያ ሙከራ
በተመረጡ ሁኔታዎች የሶስተኛ ወገን የመግባት ሙከራ በአክሲስ ሃርድዌር ወይም በሶፍትዌር ምርቶች ላይ ይከናወናል። እነዚህን ፈተናዎች የማስኬድ ዋና አላማ የፕላትሮምን ደህንነትን በተመለከተ በተወሰነ ጊዜ እና በተወሰነ ወሰን ላይ ግንዛቤን እና ማረጋገጫን መስጠት ነው። ከ ASDM ጋር ካለን ተቀዳሚ ግቦቻችን አንዱ ግልጽነት ነው ስለዚህ ደንበኞቻችን በምርቶቻችን ላይ የውጭ የመግባት ሙከራን እንዲያደርጉ እናበረታታለን እና ለሙከራ ተስማሚ መለኪያዎችን ስንገልጽ እና ውጤቱን በመተርጎም ዙሪያ ውይይቶችን ስንገልጽ ለመተባበር ደስተኞች ነን።

የተጋላጭነት አስተዳደር
አክሲስ ከ 2021 ጀምሮ የተመዘገበ CVE የስም ባለስልጣን (ሲኤንኤ) ነው እና ስለዚህ የሶስተኛ ወገን የተጋላጭነት ስካነሮች እና ሌሎች መሳሪያዎች ለመጠቀም መደበኛ CVE ሪፖርቶችን ወደ MITER ዳታቤዝ ማተም ይችላል። የተጋላጭነት ሰሌዳ (VB) በውጫዊ ተመራማሪዎች የተገኙ የተጋላጭነት ውስጣዊ የአክሲስ መገናኛ ነጥብ ነው። ሪፖርት ማድረግ
የተገኙ ተጋላጭነቶች እና ተከታይ የማሻሻያ እቅዶች የሚተላለፉት በ product-security@axis.com የኢሜል አድራሻ.
የተጋላጭነት ቦርዱ ዋና ኃላፊነት ሪፖርት የተደረገባቸውን ተጋላጭነቶች ከንግድ አንፃር መተንተን እና ቅድሚያ መስጠት ነው

  • በኤስኤስጂ የቀረበ ቴክኒካዊ ምደባ
  • የአክሲስ መሳሪያው በሚሰራበት አካባቢ ለዋና ተጠቃሚዎች ሊደርስ የሚችል አደጋ
  • የማካካሻ ደኅንነት መገኘት ያለማጣጠፍ አማራጭ ስጋትን ይቆጣጠራል)

ቪቢ የCVE ቁጥሩን ይመዘግባል እና ከሪፖርተሩ ጋር የሲቪኤስኤስ ነጥብ ለተጋላጭነት ይመድባል። ቪቢ በተጨማሪም የውጭ ግንኙነትን ለአጋሮች እና ደንበኞች በአክሲስ ደህንነት ማሳወቂያ አገልግሎት፣ በጋዜጣዊ መግለጫዎች እና በዜና ዘገባዎች በኩል ያንቀሳቅሳል።

AXIS የደህንነት ልማት ሞዴል ሶፍትዌር-fig11

የአክሲስ ደህንነት ልማት ሞዴል © Axis Communications AB፣ 2022

ሰነዶች / መርጃዎች

AXIS የደህንነት ልማት ሞዴል ሶፍትዌር [pdf] የተጠቃሚ መመሪያ
የደህንነት ልማት ሞዴል, ሶፍትዌር, የደህንነት ልማት ሞዴል ሶፍትዌር

ዋቢዎች

ተዛማጅ ልጥፎች

አስተያየት ይስጡ

የኢሜል አድራሻዎ አይታተምም። አስፈላጊ መስኮች ምልክት ተደርጎባቸዋል *