AXIS سيڪيورٽي ڊولپمينٽ ماڊل سافٽ ويئر

تعارف

ASDM جا مقصد
Axis Security Development Model (ASDM) هڪ فريم ورڪ آهي جيڪو Axis پاران استعمال ڪيل عمل ۽ اوزارن کي بيان ڪري ٿو جيڪو سافٽ ويئر ٺاهڻ لاءِ حفاظتي بلٽ ان سان گڏ سڄي زندگي، شروع کان ختم ٿيڻ تائين.

ASDM ڪوششون هلائڻ وارا بنيادي مقصد آهن

• سافٽ ويئر سيڪيورٽي کي Axis سافٽ ويئر ڊولپمينٽ سرگرمين جو هڪ مربوط حصو بڻايو.
• Axis گراهڪن لاءِ سيڪيورٽي سان لاڳاپيل ڪاروباري خطرن کي گھٽايو.
• Meet increasing awareness of security considerations by customers and partners.
• قيمت جي گھٽتائي جي صلاحيت پيدا ڪريو ڇاڪاڻ ته مسئلن جي ابتدائي ڳولڻ ۽ حل ڪرڻ جي ڪري
  ASDM اسڪوپ Axis سافٽ ويئر آهي جنهن ۾ Axis پروڊڪٽس ۽ حل شامل آهن. سافٽ ويئر سيڪيورٽي گروپ (SSG) ASDM جو مالڪ ۽ سنڀاليندڙ آهي.

لغت

ASDM	محور سيڪيورٽي ڊولپمينٽ ماڊل
ايس ايس جي	سافٽ ويئر سيڪيورٽي گروپ
فرم ویئر اسٽيئرنگ گروپ	آر اينڊ ڊي انتظام
سيٽلائيٽ	ڊولپر جيڪي سافٽ ويئر سيڪيورٽي لاء قدرتي لاڳاپو آهن
ڪمزوري بورڊ	خارجي محققن پاران مليل ڪمزورين جي سلسلي ۾ محور رابطي جو نقطو
بگ بار	هڪ پيداوار يا حل لاء سيڪيورٽي ٽارگيٽ
ڊي ايف ڊي	ڊيٽا جي وهڪري جو خاڪو

ASDM ختمview

ASDM وڏين ترقياتي مرحلن ۾ پکڙيل ڪيترن ئي سرگرمين تي مشتمل آهي. سيڪيورٽي سرگرمين کي مجموعي طور تي ASDM طور سڃاتو وڃي ٿو.

The SSG is responsible for governing the ASDM and evolving the toolbox over time. There is an ASDM roadmap and a rollout plan for implementing new activities and increasing ASDM maturity across the development organization. Both the roadmap and rollout plan are owned by the SSG, but the responsibility for actual implementation in practice (i.e., performing activities related to development phases) is delegated to the R&D teams.

سافٽ ويئر سيڪيورٽي گروپ (SSG)

SSG سيڪيورٽي سان لاڳاپيل مسئلن لاء ترقياتي تنظيمن لاء بنيادي اندروني رابطي جو ادارو آهي. اهو سيڪيورٽي ليڊز ۽ ٻين تي مشتمل آهي خاص حفاظتي ڄاڻ سان ترقي جي علائقن ۾ جهڙوڪ گهرجون، ڊيزائن، عمل درآمد، تصديق،
گڏوگڏ ڪراس-فنڪشنل DevOps عمل.
ايس ايس جي ASDM جي ترقي ۽ سار سنڀال لاءِ ذميوار آهي محفوظ ترقياتي عملن ۽ ترقياتي تنظيم ۾ سيڪيورٽي شعور جي لاءِ.

سيٽلائيٽ
سيٽلائيٽس ڊولپمينٽ آرگنائيزيشن جا ميمبر آهن جيڪي پنهنجي وقت جو هڪ حصو سافٽ ويئر سيڪيورٽي پهلوئن سان ڪم ڪندي گذارين ٿا. سيٽلائيٽ هجڻ جا سبب هي آهن:

• وڏي مرڪزي SSG تعمير ڪرڻ کان سواء ASDM اسڪيل
• ترقياتي ٽيمن جي ويجهو ASDM سپورٽ فراهم ڪريو
• معلومات جي حصيداري کي آسان بڻائي، مثال طور، بهترين عمل
  هڪ سيٽلائيٽ نئين سرگرمين کي لاڳو ڪرڻ ۽ ترقياتي ٽيمن جي هڪ سبسٽ ۾ ASDM کي برقرار رکڻ ۾ مدد ڪندي.

ASDM سرگرمي رول آئوٽ
هڪ ترقياتي ٽيم ڏانهن ASDM سرگرمي رول آئوٽ جيئن آهيtagايڊ جو عمل:

1. ٽيم کي نئين سرگرمي سان متعارف ڪرايو ويو آهي ڪردار مخصوص تربيت ذريعي.
2. ايس ايس جي ٽيم سان گڏ ڪم ڪري ٿي سرگرمي کي انجام ڏيڻ لاءِ، مثال طور، خطري جي تشخيص يا خطري جي ماڊلنگ، ٽيم پاران منظم ڪيل سسٽم جي چونڊيل حصن لاءِ.
3. روزاني ڪم ۾ ٽول باڪس کي ضم ڪرڻ سان لاڳاپيل وڌيڪ سرگرميون ٽيم ۽ سيٽلائيٽ جي حوالي ڪيون وينديون جڏهن اهي سڌو SSG شموليت کان سواءِ آزاديءَ سان ڪم ڪرڻ لاءِ تيار هوندا. هن مرحلي ۾، ڪم ٽيم مئنيجر پاران سنڀاليو ويندو آهي ASDM اسٽيٽس ذريعي.
   رول آئوٽ کي بار بار ڪيو ويندو آهي جڏهن ASDM جا نوان ورجن موجود آهن تبديل ٿيل ۽/يا شامل ڪيل سرگرمين سان. ٽيم سان SSG پاران خرچ ڪيل وقت جو تمام گهڻو انحصار آهي سرگرمي ۽ ڪوڊ جي پيچيدگي تي. ٽيم کي ڪامياب حوالي ڪرڻ لاء هڪ اهم عنصر هڪ سرايت ٿيل سيٽلائيٽ جو وجود آهي جيڪو ٽيم سان گڏ ASDM ڪم کي جاري رکي سگهي ٿو. ايس ايس جي سيٽلائيٽ جي سکيا ۽ تفويض کي متحرڪ ڪري ٿي سرگرمي رول آئوٽ سان.
   هيٺ ڏنل شڪل رول آئوٽ جي طريقيڪار کي اختصار ڪري ٿو.

   

ايس ايس جي جي حوالي سان ”ٿيل“ جي تعريف آهي:

• خاص ڪردار جي تربيت ڪئي وئي
• مقرر ڪيل سيٽلائيٽ
• ٽيم ASDM سرگرمي کي انجام ڏيڻ لاء تيار آهي
• بار بار ASDM اسٽيٽس ميٽنگون قائم ڪيون ويون
  ايس ايس جي ٽيمن مان ان پٽ استعمال ڪندي سينئر انتظاميا ڏانهن اسٽيٽس رپورٽون گڏ ڪرڻ لاءِ.

ٻيا SSG سرگرميون
رول آئوٽ سرگرمين سان گڏ، SSG وسيع حفاظتي آگاهي واري تربيتي سرگرمين کي ھدف ڪري ٿي، مثال طور، نون ملازمن ۽ سينيئر انتظامن کي. اضافي طور تي، SSG مجموعي/آرڪيٽيڪچرل خطري جي تشخيص جي مقصدن لاء محور حل جي حفاظتي گرمي نقشي کي برقرار رکي ٿو. خاص ماڊلز لاءِ فعال سيڪيورٽي تجزيي سرگرميون ڪيون وينديون آهن گرمي نقشي جي بنياد تي.

ڪردار ۽ ذميواريون
جيئن هيٺ ڏنل جدول ۾ ڏيکاريل آهي، اتي ڪي اهم ادارا ۽ ڪردار آهن جيڪي ASDM پروگرام جو حصو آهن. هيٺ ڏنل جدول ASDM جي حوالي سان ڪردار ۽ ذميواريون بيان ڪري ٿو.

ڪردار / ادارو	جو حصو	ذميواري	تبصرو
سيڪيورٽي ماهر	ايس ايس جي	ASDM کي سنڀاليو، ٽول باڪس کي وڌايو ۽ ASDM رول آئوٽ کي ڊرائيو	SSG کي 100٪ تفويض ڪيو ويو
سيٽلائيٽ	ترقي لائن	ASDM کي پهريون ڀيرو لاڳو ڪرڻ ۾ SSG جي مدد ڪريو، ٽيمن کي ڪوچ ڪريو، تربيتون انجام ڏيو ۽ يقيني بڻايو وڃي ته ٽيم ٽول باڪس کي روزاني ڪم جي حصي طور استعمال ڪرڻ جاري رکي سگهي ٿي، SSG کان آزاد. ڪراس ٽيم جي ذميواري (ڪيترائي ٽيمون) سيٽلائيٽ جي ڪل تعداد کي محدود ڪرڻ جي ضرورت آهي.	دلچسپي ۽ مشغول ڊولپرز، معمار، مينيجرز، ٽيسٽرز، ۽ ساڳيا ڪردار جيڪي سافٽ ويئر سيڪيورٽي لاء قدرتي وابستگي رکن ٿا. سيٽلائيٽ پنهنجي وقت جو گهٽ ۾ گهٽ 20٪ ASDM سان لاڳاپيل ڪم لاءِ تفويض ڪن ٿا.
مينيجرز	ترقي لائن	ASDM عملن تي عمل درآمد لاءِ محفوظ وسيلا. ڊرائيو ٽريڪنگ ۽ رپورٽنگ ASDM اسٽيٽس ۽ ڪوريج تي.	ڊولپمينٽ ٽيمون ASDM تي عمل درآمد ڪن ٿيون، SSG سان گڏ هڪ سپورٽ وسيلو آهي.
فرم ویئر اسٽيئرنگ گروپ (FW SG)	آر اينڊ ڊي انتظام	سيڪيورٽي حڪمت عملي تي فيصلو ڪري ٿو ۽ مکيه ايس ايس جي رپورٽنگ چينل طور ڪم ڪري ٿو.	ايس ايس جي باقاعده بنياد تي ايف ڊبليو ايس ايس کي رپورٽ ڪري ٿي.

ASDM گورننس

گورننس سسٽم هيٺين حصن تي مشتمل آهي:

• ASDM سرگرمين کي ترجيح ڏيڻ ۾ مدد لاءِ سسٽم جو خطرو گرمي جو نقشو
• ٽريننگ جي ڪوششن تي ڌيان ڏيڻ لاءِ رول آئوٽ پلان ۽ اسٽيٽس
• ٽول باڪس کي ترقي ڪرڻ لاء روڊ ميپ
• صورتحال کي ماپڻ لاءِ ته ASDM سرگرميون ڪيتري حد تائين تنظيم ۾ ضم ٿيل آهن

اهڙيءَ طرح ASDM سسٽم ٻنهي حڪمت عملي/آپريشنل نقطه نظر سان گڏوگڏ هڪ اسٽريٽجڪ/ايگزيڪيوٽو نقطه نظر کان به سهڪار ڪيو ويندو آهي.
انگن اکرن ۾ ساڄي پاسي واري ايگزيڪيوٽو ھدايت تي ڌيان ڏنو ويو آھي ته ڪيئن تنظيم کي ترقي ڪرڻ لاءِ بهتر اثرائتو ڪارڪردگيءَ لاءِ Axis ڪاروباري مقصدن جي مطابق. ان لاءِ هڪ اهم ان پٽ آهي ASDM اسٽيٽس رپورٽنگ جيڪا SSG پاران ڪئي وئي آهي فرم ویئر اسٽيئرنگ گروپ، سي ٽي او ۽ پراڊڪٽ مئنيجمينٽ.

ASDM اسٽيٽس جي جوڙجڪ

ASDM اسٽيٽس ڍانچي جا ٻه نقطا آهن: هڪ ٽيم سينٽرڪ جيڪو اسان جي ٽيم ۽ ڊپارٽمينٽ جي ڍانچي جي نقل ڪري ٿو، ۽ هڪ حل سينٽرڪ انهن حلن تي مرکوز آهي جيڪي اسان مارڪيٽ ۾ آڻيون ٿا.
هيٺ ڏنل شڪل ASDM اسٽيٽس جي جوڙجڪ کي بيان ڪري ٿي.

ٽيم جي حيثيت
ٽيم جي اسٽيٽس تي مشتمل آهي ٽيم جي خود تشخيص ان جي ASDM جي پختگي جو، ميٽرڪس سان لاڳاپيل انهن جي سيڪيورٽي تجزيي جي سرگرمين سان گڏ گڏوگڏ انهن اجزاء جي سيڪيورٽي جي صورتحال جو هڪ مجموعو انهن جا ذميوار آهن.

Axis ASDM جي پختگي کي ASDM ورزن جي طور تي بيان ڪري ٿو جيڪا ٽيم هن وقت استعمال ڪري ٿي. جيئن ته ASDM ترقي ڪري رهيو آهي، اسان ASDM ورزننگ جي وضاحت ڪئي آهي جتي ASDM جي هر ورزن ۾ سرگرمين جو هڪ منفرد سيٽ شامل آهي. مثال لاءِampلي، ASDM جو اسان جو پهريون نسخو خطرو ماڊلنگ تي مرکوز آهي.
Axis هيٺ ڏنل ASDM نسخن جي وضاحت ڪئي آهي:

ASDM نسخو	نيون سرگرميون
ASDM 1.0	خطري جي تشخيص ۽ خطري جي ماڊلنگ
ASDM 2.0	جامد ڪوڊ ٻيهرview
ASDM 2.1	ڊيزائن طرفان رازداري
ASDM 2.2	سافٽ ويئر جي جوڙجڪ جو تجزيو
ASDM 2.3	خارجي دخول جاچ
ASDM 2.4	خطراتي اسڪيننگ ۽ فائر ڊرل
ASDM 2.5	پراڊڪٽ/حل سيڪيورٽي اسٽيٽس

ٽيم کي ملڪيت ڏيڻ جو ڪهڙو ASDM ورزن اهي استعمال ڪن ٿا مطلب ته اهو لائن مئنيجر آهي جيڪو نئين ASDM ورزن کي اپنائڻ جو ذميوار آهي. تنهن ڪري هڪ سيٽ اپ جي بدران جتي SSG هڪ مرڪزي ASDM رول آئوٽ پلان کي زور ڏئي ٿو اهو هاڻي پل تي ٻڌل ۽ مينيجرز طرفان ڪنٽرول ٿي وڃي ٿو.

اجزاء جي حالت

• اسان وٽ جزو جي وسيع تعريف آهي ڇو ته اسان کي پليٽ فارم ۾ لينڪس ڊيمن کان وٺي سڀني قسمن جي تعميراتي ادارن کي ڍڪڻ جي ضرورت آهي، سرور سافٽ ويئر ذريعي ڪلائوڊ (مائڪرو) سروسز تائين.
• هر ٽيم کي لازمي طور تي هڪ تجريد سطح جو پنهنجو ذهن ٺاهڻ گهرجي جيڪو انهن لاءِ ڪم ڪري ٿو انهن جي ماحول ۽ فن تعمير ۾. انگن اکرن جي قاعدي جي طور تي، ٽيمن کي نئين تجريد جي سطح کي ايجاد ڪرڻ کان پاسو ڪرڻ گهرجي ۽ جيڪي ڪجهه اهي اڳ ۾ ئي استعمال ڪري رهيا آهن انهن کي روزاني ڪم ۾ رکڻ گهرجي.
• خيال اهو آهي ته هر ٽيم کي صاف هجڻ گهرجي view انهن جي سڀني اعلي خطرن جي اجزاء جو، جنهن ۾ نوان ۽ گڏوگڏ ورثي اجزاء شامل آهن. ورثي جي اجزاء ۾ هن وڌندڙ دلچسپي جي حوصلا افزائي حل لاءِ حفاظتي صورتحال کي ڏسڻ جي اسان جي صلاحيت سان جڙيل آهي. حل جي صورت ۾، اسان چاهيون ٿا ته حل جي سڀني حصن جي حفاظتي صورتحال ۾ نئين ۽ پراڻي.
• عملي طور تي هن جو مطلب اهو آهي ته هر ٽيم کي پنهنجي اجزاء جي فهرست کي ڏسڻ گهرجي ۽ خطري جي تشخيص ڪرڻ گهرجي.
• پهرين شيء جيڪا اسان کي ڄاڻڻ جي ضرورت آهي اها آهي ته ڇا جزو سيڪيورٽي تجزيو ڪيو آهي. جيڪڏهن اهو نه آهي، اسان حقيقت ۾ جزو جي حفاظتي معيار بابت ڪجھ به نه ڄاڻون ٿا.

اسان هن ملڪيت جي ڪوريج کي سڏيندا آهيون ۽ هيٺ ڏنل ڪوريج جي سطح کي بيان ڪيو آهي:

ڪوريج	وصف
تجزيو نه ڪيو ويو آهي	جزو اڃا تائين تجزيو نه ڪيو ويو آهي
تجزيو جاري	جزو جو تجزيو ڪيو پيو وڃي
تجزيو ڪيو ويو	جزو جو تجزيو ڪيو ويو آهي

ميٽرڪ جيڪي اسان جزو جي حفاظتي معيار کي پڪڙڻ لاءِ استعمال ڪريون ٿا اهي بيڪ لاگ ۾ سيڪيورٽي ڪم جي شيون تي ٻڌل آهن جيڪي جزو سان ڳنڍيل آهن. اهو ٿي سگهي ٿو جوابي تدبيرون جن تي عمل نه ڪيو ويو آهي، ٽيسٽ ڪيس جن تي عمل نه ڪيو ويو آهي ۽ سيڪيورٽي ڪيگ جن کي حل نه ڪيو ويو آهي.

حل جي حالت

حل جي صورتحال مجموعي طور تي حفاظتي حيثيت رکي ٿي اجزاء جي ھڪڙي سيٽ لاءِ جيڪو حل ٺاھي ٿو.
حل جي حيثيت جو پهريون حصو اجزاء جي تجزيو ڪوريج آهي. هي حل جي مالڪن کي سمجهڻ ۾ مدد ڪري ٿو ته ڇا حل جي حفاظتي حيثيت معلوم ٿئي ٿي يا جيڪڏهن اهو ناهي. هڪ نقطي نظر ۾ اهو انڌا اسپٽ جي سڃاڻپ ۾ مدد ڪري ٿو. باقي حل جي صورتحال ۾ ميٽرڪس شامل آهن جيڪي حل جي حفاظتي معيار کي پڪڙيندا آهن. اسان اهو ڪندا آهيون حفاظتي ڪم جي شين کي ڏسڻ سان جيڪي حل ۾ اجزاء سان ڳنڍيل آهن. سيڪيورٽي اسٽيٽس جو هڪ اهم پاسو حل مالڪن پاران بيان ڪيل بگ بار آهي. حل مالڪن کي لازمي طور تي انهن جي حل لاءِ مناسب حفاظتي سطح جو تعين ڪرڻ گهرجي. مثال طورampلي، هن جو مطلب اهو آهي ته حل ۾ ڪو به شاندار نازڪ يا اعلي شدت وارو ڪم شيون نه هجڻ گهرجي جڏهن مارڪيٽ ڏانهن جاري ڪيو وڃي.

ASDM سرگرميون

خطري جي تشخيص
خطري جي تشخيص سان گڏ بنيادي مقصد اهو آهي ته فلٽر ڪرڻ ڪهڙي ترقياتي سرگرميون جيڪي ٽيم جي اندر سيڪيورٽي ڪم جي ضرورت هوندي.
خطري جو اندازو ان فيصلي سان ڪيو ويندو آهي ته ڇا موجوده پروڊڪٽس ۾ ڪا نئين پراڊڪٽ يا شامل ڪيل/تبديل ٿيل خصوصيت خطري جي نمائش کي وڌائي ٿي. نوٽ ڪريو ته ھن ۾ ڊيٽا جي رازداري جا حصا ۽ تعميل جون ضرورتون پڻ شامل آھن. مثالampتبديلين جا les جيڪي خطرا اثر رکن ٿا، نوان APIs، اختيار جي ضرورتن ۾ تبديليون، نئون مڊل ويئر، وغيره.

ڊيٽا رازداري
اعتماد Axis لاءِ هڪ اهم توجهه وارو علائقو آهي ۽، جيئن ته، اسان جي پروڊڪٽس، حلن ۽ خدمتن پاران گڏ ڪيل خانگي ڊيٽا سان ڪم ڪرڻ دوران بهترين عملن جي پيروي ڪرڻ ضروري آهي.
ڊيٽا جي رازداري سان لاڳاپيل محور ڪوششن جي گنجائش اهڙي طرح بيان ڪئي وئي آهي ته اسان ڪري سگهون ٿا:

• قانوني ذميواريون پوريون ڪريو
• معاهدي جي ذميوارين کي پورو ڪريو
• مدد ڪريو گراهڪن کي پنهنجون ذميواريون پوريون ڪرڻ ۾

اسان ڊيٽا جي رازداري سرگرمي کي ٻن ذيلي سرگرمين ۾ ورهايو ٿا:

• ڊيٽا رازداري جو جائزو
  • خطري جي تشخيص دوران ڪيو ويو
  • سڃاڻي ٿو ته ڊيٽا رازداري جي تجزيي جي ضرورت آهي
•  ڊيٽا رازداري تجزيو
  • ٿي ويو، جڏهن قابل اطلاق، خطري جي ماڊلنگ دوران
  • ذاتي ڊيٽا کي سڃاڻي ٿو ۽ ذاتي ڊيٽا کي خطرو
  • رازداري گهرجن جي وضاحت ڪري ٿي

خطري جي ماڊلنگ
ان کان اڳ جو اسان خطرن جي نشاندهي ڪرڻ شروع ڪريون، اسان کي خطري جي ماڊل جي دائري تي فيصلو ڪرڻو پوندو. دائري کي بيان ڪرڻ جو هڪ طريقو اهو آهي ته انهن حملي آورن کي بيان ڪيو وڃي جن تي اسان کي غور ڪرڻ جي ضرورت آهي. اهو طريقو پڻ اسان کي اجازت ڏيندو ته اسان کي اعلي سطحي حملي جي سطحن کي سڃاڻڻ جي اسان کي تجزيو ۾ شامل ڪرڻ گهرجي.

• خطري جي اسڪوپنگ دوران فوڪس حملي ڪندڙن کي ڳولڻ ۽ درجه بندي ڪرڻ تي آهي جنهن کي اسان سسٽم جي اعلي سطحي وضاحت استعمال ڪندي سنڀالڻ چاهيون ٿا. ترجيحي طور تي وضاحت ڊيٽا فلو ڊاگرام (DFD) استعمال ڪندي ڪئي وئي آهي ڇاڪاڻ ته اهو وڌيڪ تفصيلي استعمال جي ڪيس جي وضاحتن کي ڳنڍڻ آسان بڻائي ٿو جيڪي خطري جي ماڊل کي ڪرڻ وقت استعمال ڪيا ويندا آهن.
• هن جو مطلب اهو ناهي ته سڀني حملي آورن کي اسان جي سڃاڻپ ڪرڻ جي ضرورت آهي غور ڪيو وڃي، ان جو آسان مطلب اهو آهي ته اسان انهن حملي ڪندڙن تي واضح ۽ هڪجهڙائي وارا آهيون جن کي اسين خطري جي نموني ۾ خطاب ڪنداسين. تنهن ڪري، بنيادي طور تي حملي ڪندڙ جيڪي اسان غور ڪرڻ لاء چونڊيندا آهيون انهن سسٽم جي حفاظتي سطح جي وضاحت ڪنداسين جنهن جو اسان اندازو ڪري رهيا آهيون.
  نوٽ ڪريو ته اسان جي حملي ڪندڙ وضاحت حملي آور جي صلاحيتن يا حوصلي ۾ عنصر نه آهي. اسان هن طريقي کي چونڊيو آهي ته جيئن ممڪن حد تائين خطري جي ماڊلنگ کي آسان ۽ منظم ڪيو وڃي.

  

خطري جي ماڊلنگ جا ٽي مرحلا آھن جيڪي ورجائي سگھجن ٿا جيئن ٽيم مناسب ڏسي ٿي:

1. DFDs جو هڪ سيٽ استعمال ڪندي سسٽم کي بيان ڪريو
2. خطرن جي نشاندهي ڪرڻ لاءِ DFDs استعمال ڪريو ۽ انھن کي غلط استعمال واري ڪيس جي انداز ۾ بيان ڪريو
3. 3. خطرن لاءِ جوابي قدمن ۽ تصديق جي وضاحت ڪريو
   خطري جي ماڊلنگ سرگرمي جو نتيجو هڪ خطرو ماڊل آهي جنهن ۾ ترجيحي خطرن ۽ جوابي قدمن تي مشتمل آهي. جوابي قدمن کي حل ڪرڻ لاءِ گهربل ترقياتي ڪم جو انتظام ڪيو ويندو آهي جرا ٽڪيٽن جي ٺاھڻ لاءِ ٻنهي جوابي قدمن تي عمل درآمد ۽ تصديق لاءِ.

   

جامد ڪوڊ تجزيو
ASDM ۾، ٽيمون استعمال ڪري سگھن ٿيون جامد ڪوڊ تجزيو ٽن طريقن سان:

• ڊولپر ورڪ فلو: ڊولپرز ان ڪوڊ جو تجزيو ڪن ٿا جن تي اھي ڪم ڪري رھيا آھن
• Gerrit workflow: ڊولپرز Gerrit ۾ موٽ حاصل ڪري
• ورثي جو ڪم فلو: ٽيمون اعلي خطري واري ورثي جي اجزاء جو تجزيو ڪن ٿيون

  

ڪمزوري اسڪيننگ
باقاعدي خطراتي اسڪيننگ ڊولپمينٽ ٽيمن کي اجازت ڏئي ٿي ته سافٽ ويئر جي ڪمزورين کي سڃاڻڻ ۽ پيچ ڪرڻ کان اڳ پروڊڪٽس کي عوام لاءِ جاري ڪيو وڃي، پراڊڪٽ يا خدمت کي ترتيب ڏيڻ وقت گراهڪ جي خطري کي گهٽائي. اسڪيننگ هر رليز هارڊويئر، سافٽ ويئر) کان اڳ ڪئي ويندي آهي يا هلندڙ شيڊول (سروسز) تي ٻنهي اوپن سورس ۽ تجارتي ڪمزوري اسڪيننگ پيڪيجز استعمال ڪندي. اسڪين جا نتيجا استعمال ڪيا ويندا آهن ٽڪيٽون ٺاهڻ لاءِ جيرا مسئلي جي ٽريڪنگ پليٽ فارم ۾. ٽڪيٽون خاص ڏنيون وينديون آهن tag ڊولپمينٽ ٽيمن جي سڃاڻپ ٿي سگهي ٿي جيئن هڪ ڪمزوري اسڪين مان اچي ٿي ۽ انهن کي اعليٰ ترجيح ڏني وڃي. سڀ نقصانڪار اسڪين ۽ جيرا ٽڪيٽون مرڪزي طور تي محفوظ ڪيون وينديون آهن سراغ ۽ آڊيٽنگ جي مقصدن لاءِ. نازڪ ڪمزورين کي ڇڏڻ کان اڳ حل ڪيو وڃي يا خاص سروس رليز ۾ ٻين، غير نازڪ خطرن سان،
ٽريڪ ڪيو ويو ۽ حل ڪيو ويو ترتيب ۾ فرم ويئر يا سافٽ ويئر ڇڏڻ واري چڪر سان. وڌيڪ معلومات لاءِ ته ڪيئن ڪمزورين کي اسڪور ۽ منظم ڪيو وڃي ٿو، ڏسو Vulnerability Management صفحي 12 تي

خارجي دخول جاچ
چونڊيل ڪيسن ۾، ٽئين پارٽي جي دخول جاچ Axis هارڊويئر يا سافٽ ويئر پروڊڪٽس تي ڪئي ويندي آهي. انهن تجربن کي هلائڻ جو بنيادي مقصد هڪ خاص وقت ۽ هڪ خاص دائري لاءِ پلاٽورم جي حفاظت جي حوالي سان بصيرت ۽ يقين ڏيارڻ آهي. ASDM سان اسان جو هڪ بنيادي مقصد شفافيت آهي ان ڪري اسان پنهنجي گراهڪ کي حوصلا افزائي ڪريون ٿا ته هو اسان جي پروڊڪٽس تي خارجي دخول جي جاچ ڪن ۽ اسان تعاون ڪرڻ ۾ خوش آهيون جڏهن جانچ لاءِ مناسب پيرا ميٽرن جي وضاحت ڪرڻ سان گڏوگڏ نتيجن جي تشريح ڪرڻ بابت بحث مباحثو ڪيو وڃي.

خطري جي انتظام
Axis آهي، 2021 کان، هڪ رجسٽرڊ CVE نامياري اٿارٽي (CNA) ۽ تنهن ڪري معياري CVE رپورٽون شايع ڪرڻ جي قابل آهي MITER ڊيٽابيس تي ٽئين پارٽي جي ڪمزوري اسڪينرز ۽ ٻين اوزارن جي استعمال لاءِ. vulnerability بورڊ (VB) خارجي محققن پاران دريافت ڪيل خطرن لاءِ اندروني محور رابطي جو نقطو آهي. جي رپورٽنگ
دريافت ٿيل نقصانن ۽ بعد ۾ بحالي جي منصوبن جي ذريعي ٻڌايو ويو آهي product-security@axis.com اي ميل پتو.
خطري واري بورڊ جي بنيادي ذميواري ڪاروباري نقطه نظر کان رپورٽ ٿيل نقصانن جو تجزيو ۽ ترجيح ڏيڻ آهي، جنهن جي بنياد تي

• ايس ايس جي پاران مهيا ڪيل ٽيڪنيڪل درجه بندي
• ماحول ۾ آخري استعمال ڪندڙن لاءِ ممڪن خطرو جنهن ۾ محور ڊوائيس هلندي آهي
• معاوضي جي دستيابي حفاظتي ضابطو رکي ٿو متبادل خطري جي گھٽتائي بغير پيچنگ)

VB CVE نمبر رجسٽر ڪري ٿو ۽ رپورٽر سان گڏ ڪم ڪري ٿو هڪ CVSS سکور کي نقصان پهچائڻ لاءِ. VB Axis سيڪيورٽي نوٽيفڪيشن سروس، پريس ريليز، ۽ خبرون آرٽيڪل ذريعي ڀائيوارن ۽ گراهڪن تائين ٻاهرين رابطي کي پڻ هلائي ٿو.

Axis Security Development Model © Axis Communications AB، 2022

دستاويز / وسيلا

AXIS سيڪيورٽي ڊولپمينٽ ماڊل سافٽ ويئر [pdf] استعمال ڪندڙ دستياب سيڪيورٽي ڊولپمينٽ ماڊل، سافٽ ويئر، سيڪيورٽي ڊولپمينٽ ماڊل سافٽ ويئر

حوالو

• استعمال ڪندڙ دستي