AXIS Security Development Model Software
Sava lalana
ASDM tanjona
Ny Axis Security Development Model (ASDM) dia rafitra iray izay mamaritra ny dingana sy ny fitaovana ampiasain'ny Axis hananganana rindrambaiko miaraka amin'ny fiarovana natsangana mandritra ny androm-piainana, manomboka amin'ny fanombohana ka hatramin'ny famongorana.
Ny tanjona voalohany mitondra ny ezaka ASDM dia
- Ataovy ho ampahany mitambatra amin'ny hetsika fampivoarana rindrambaiko Axi ny fiarovana rindrambaiko.
- Ahena ny risika ara-barotra mifandraika amin'ny fiarovana ho an'ny mpanjifa Axi.
- Hihaona amin'ny fitomboan'ny fahatsiarovan-tena momba ny fiarovana ny mpanjifa sy ny mpiara-miombon'antoka.
- Mamorona mety ho fampihenana ny vidiny noho ny fahitana mialoha sy ny famahana ny olana
Ny sahan'ny ASDM dia rindrambaiko Axis tafiditra ao amin'ny vokatra sy vahaolana Axis. Ny Software Security Group (SSG) no tompon'ny ASDM.
Glossary
| ASDM | Modely Fampandrosoana fiarovana Axis |
| SSG | Software Security Group |
| mikirao praogramanao mamily vondrona | Fitantanana R&D |
| Satellite | Mpamorona manana fifandraisana voajanahary amin'ny fiarovana rindrambaiko |
| Fahamoram-pahavoazana BIRAO, BIRAO | Toerana mifandray amin'ny Axis mifandraika amin'ny vulnerability hitan'ny mpikaroka ivelany |
| Bug bar | Kendrena fiarovana amin'ny vokatra na vahaolana |
| DFD | Diagrama fikorianan'ny angona |
ASDMview
Ny ASDM dia ahitana hetsika maromaro miparitaka manerana ireo dingana lehibe amin'ny fampandrosoana. Ireo hetsika fiarovana dia antsoina hoe ASDM.
Ny SSG dia tompon'andraikitra amin'ny fitantanana ny ASDM sy ny fampivoarana ny boaty fitaovana rehefa mandeha ny fotoana. Misy ny tondrozotra ASDM sy ny drafi-pamokarana amin'ny fanatanterahana hetsika vaovao sy ny fampitomboana ny fahamatorana ASDM manerana ny fikambanana fampandrosoana. Samy an'ny SSG ny sori-dalana sy ny drafitry ny fandefasana, fa ny andraikitra amin'ny fampiharana tena izy amin'ny fampiharana (izany hoe ny fanatanterahana hetsika mifandraika amin'ny dingana fampandrosoana) dia atolotra ny ekipa R&D.
Software Security Group (SSG)
Ny SSG no orinasam-pifandraisana anatiny lehibe indrindra amin'ireo fikambanana fampandrosoana ho an'ny olana mifandraika amin'ny fiarovana. Izy io dia ahitana ny Security Leads sy ny hafa manana fahalalana momba ny fiarovana manokana amin'ny sehatra fampandrosoana toy ny fepetra takiana, ny famolavolana, ny fampiharana, ny fanamarinana,
ary koa ny fizotran'ny DevOps cross-functional.
Ny SSG dia tompon'andraikitra amin'ny fampivoarana sy fikojakojana ny ASDM ho an'ny fomba fampivoarana azo antoka sy ny fampahafantarana momba ny fiarovana ao amin'ny fikambanana fampandrosoana.
zanabolana
Ny zanabolana dia mpikambana ao amin'ny fikambanana fampandrosoana izay mandany ampahany amin'ny fotoanany miasa amin'ny lafiny fiarovana amin'ny rindrambaiko. Ny antony mahatonga ny satelita dia:
- Ampitomboy ny ASDM nefa tsy manangana SSG foibe lehibe
- Omeo fanohanana ASDM akaikin'ny ekipa fampandrosoana
- Manamora ny fizarana fahalalana, ohatra, ny fanao tsara indrindra
Ny zanabolana iray dia hanampy amin'ny fanatanterahana hetsika vaovao sy fikojakojana ny ASDM amin'ny ampahany amin'ny ekipa fampandrosoana.
Famoahana hetsika ASDM
Ny fandefasana hetsika ASDM ho an'ny ekipa fampandrosoana dia toy nytaged process:
- Ny ekipa dia ampahafantarina amin'ny hetsika vaovao amin'ny alàlan'ny fanofanana manokana momba ny andraikitra.
- Miara-miasa amin'ny ekipa ny SSG mba hanatanteraka ny hetsika, ohatra, fanombanana ny risika na fandrahonana modely, ho an'ny ampahany voafantina ao amin'ny (ireo) rafitra tantanin'ny ekipa.
- Ny hetsika fanampiny mifandraika amin'ny fampidirana ny boaty fitaovana amin'ny asa andavanandro dia hatolotra ny ekipa sy ny zanabolana rehefa vonona ny hiasa tsy miankina tsy misy fandraisana anjara mivantana amin'ny SSG izy ireo. Amin'ity dingana ity, ny mpitantana ny ekipa dia fehezin'ny sata ASDM.
Miverina ny fandefasana rehefa misy dikan-teny vaovao amin'ny ASDM misy miaraka amin'ny hetsika novaina sy/na fanampiny. Ny habetsaky ny fotoana lanin'ny SSG miaraka amin'ny ekipa dia miankina be amin'ny hetsika sy ny fahasarotan'ny code. Antony iray manan-danja amin'ny fanomezana fahombiazana amin'ny ekipa ny fisian'ny zanabolana tafiditra izay afaka manohy ny asa ASDM bebe kokoa miaraka amin'ny ekipa. Ny SSG dia mitondra ny fianarana sy ny fanendrena ny zanabolana mifanaraka amin'ny famoahana hetsika.
Ity sary etsy ambany ity dia mamintina ny fomba fandefasana.
Ny famaritana SSG ny "vita" ho an'ny fandefasana dia:
- Fampiofanana manokana momba ny anjara asa natao
- Voatendry ny satelita
- Vonona ny ekipa hanao ny hetsika ASDM
- Fivoriana miverimberina momba ny satan'ny ASDM napetraka
Ny SSG dia mampiasa ny fandraisan'anjaran'ny ekipa mba hanangonana tatitra momba ny sata ho an'ny mpitantana ambony.
Hetsika SSG hafa
Mifanaraka amin'ny hetsika fanokafana, ny SSG dia manao hetsika fanofanana momba ny fampahafantarana momba ny fiarovana, ohatra, mpiasa vaovao sy mpitantana ambony. Fanampin'izany, ny SSG dia mitazona sarintany hafanana fiarovana amin'ny vahaolana Axis ho an'ny tanjona fanombanana ny risika amin'ny ankapobeny/maritrano. Ny hetsika famakafakana fiarovana mavitrika ho an'ny maody manokana dia atao mifototra amin'ny sarintany hafanana.
Andraikitra sy andraikitra
Araka ny hita eo amin'ny tabilao etsy ambany, dia misy sampana sy andraikitra lehibe sasany ao anatin'ny fandaharan'asa ASDM. Ny tabilao etsy ambany dia mamintina ireo andraikitra sy andraikitra mifandraika amin'ny ASDM.
| Anjara/Fikambanana | ampahany amin'ny | Andraikitra | fanehoan-kevitra |
| Manampahaizana momba ny fiarovana | SSG | Tariho ny ASDM, amboary ny boaty fitaovana ary ento ny fandefasana ASDM | 100% voatendry ho an'ny SSG |
| Satellite | Andalana fampandrosoana | Ampio ny SSG hampihatra ASDM voalohany, ekipa mpanazatra, hanao fiofanana ary hiantoka fa afaka manohy mampiasa ny Toolbox ny ekipa ho ampahany amin'ny asa andavanandro, tsy miankina amin'ny SSG. Andraikitry ny ekipa (ekipa maromaro) takiana mba hamerana ny isan'ny zanabolana. | Mpamorona, mpanao mari-trano, mpitantana, mpanandrana ary andraikitra mitovy amin'izany izay manana fifandraisana voajanahary amin'ny fiarovana rindrambaiko. Ny zanabolana dia manome farafahakeliny 20% amin'ny fotoanany amin'ny asa mifandraika amin'ny ASDM. |
| mpitantana | Andalana fampandrosoana | Loharano azo antoka amin'ny fampiharana ny fomba ASDM. Fanaraha-maso sy fanaovana tatitra momba ny sata ASDM sy ny fandrakofana. | Ny ekipan'ny fampandrosoana dia manana ny fampiharana ny ASDM, miaraka amin'ny SSG ho loharanom-panohanana. |
| Firmware Steering Group (FW SG) | Fitantanana R&D | Manapa-kevitra momba ny paikady fiarovana ary miasa ho fantsona mitatitra SSG lehibe. | Manao tatitra tsy tapaka amin'ny FW SG ny SSG. |
ASDM fitantanana
Ny rafi-pitantanana dia ahitana ireto ampahany manaraka ireto:
- Sarintany momba ny loza ateraky ny rafitra hanampy amin'ny laharam-pahamehana ny hetsika ASDM
- Drafitr'asa sy sata hiompana amin'ny ezaka fanofanana
- Tondrozotra hamolavolana ny boaty fitaovan-tserasera
- Sata mba handrefesana ny fomba fampifandraisana tsara ny hetsika ASDM ao amin'ny fikambanana
Noho izany, ny rafitra ASDM dia tohanana amin'ny fomba fijery ara-tetika/fampiasana ary koa amin'ny fomba fijery stratejika/mpanatanteraka.
Ny fitarihana mpanatanteraka eo amin'ny ilany havanana amin'ny tarehimarika dia mifantoka amin'ny fomba fampivoarana ny fikambanana ho amin'ny fahombiazana tsara indrindra mifanaraka amin'ny tanjon'ny orinasa Axi. Ny fidirana manan-danja amin'izany dia ny tatitra momba ny sata ASDM nataon'ny SSG manoloana ny Firmware Steering Group, CTO ary Product Management.
Ny rafitra sata ASDM
Ny rafitry ny satan'ny ASDM dia manana fomba fijery roa: ny ekipa iray mifantoka amin'ny ekipantsika sy ny rafitry ny departemanta, ary ny vahaolana iray mifantoka amin'ny vahaolana entintsika eny an-tsena.
Ny sary etsy ambany dia mampiseho ny rafitry ny sata ASDM.
Satan'ny ekipa
Ny satan'ny ekipa dia ahitana ny fanombanana ny tenany manokana momba ny fahamatoran'ny ASDM azy, ny metrika mifandraika amin'ny hetsika famakafakana fiarovana ary koa ny fitambaran'ny sata fiarovana ny singa iandraiketany.
Axis dia mamaritra ny fahamatorana ASDM ho ny dikan-teny ASDM ampiasain'ny ekipa amin'izao fotoana izao. Koa satria mivoatra ny ASDM, dia nofaritanay ny famoahana ASDM izay ahitana andiana hetsika tsy manam-paharoa ny dikan-teny tsirairay amin'ny ASDM. Ho an'ny exampNy dikan-teny voalohany amin'ny ASDM dia mifantoka amin'ny fandrahonana modely.
Axis dia namaritra ireto dikan-teny ASDM manaraka ireto:
| Vidin'ny ASDM | Hetsika vaovao |
| ASDM 1.0 | Ny fanombanana ny risika sy ny fandrahonana modely |
| ASDM 2.0 | Kaody static review |
| ASDM 2.1 | Privacy amin'ny famolavolana |
| ASDM 2.2 | Famakafakana ny famoronana rindrambaiko |
| ASDM 2.3 | Fitsapana fidirana ivelany |
| ASDM 2.4 | Fanaraha-maso ny vulnerability sy ny fandrefesana afo |
| ASDM 2.5 | Toetran'ny fiarovana ny vokatra/Vahaolana |
Ny fanomezana ny fananan'ny ekipa ny dikan-teny ASDM ampiasain'izy ireo dia midika fa ny mpitantana ny tsipika no tompon'andraikitra amin'ny fananganana dikan-teny ASDM vaovao. Noho izany, raha tokony ho setup izay manosika ny SSG drafi-pamokarana ASDM afovoany dia lasa mifototra amin'ny fisintonana sy fehezin'ny mpitantana.
Satan'ny singa
- Manana famaritana midadasika momba ny singa isika satria mila mirakitra ireo karazana rafitra ara-javakanto rehetra manomboka amin'ny demonia Linux ao amin'ny lampihazo, amin'ny alàlan'ny rindrambaiko mpizara hatrany amin'ny serivisy rahona (mikro).
- Ny ekipa tsirairay dia tsy maintsy mamolavola ny sainy manokana momba ny haavon'ny abstraction izay miasa ho azy ireo amin'ny tontolo iainany sy ny maritrano. Raha ny fitsipika ankapobeny, ny ekipa dia tokony hisoroka ny famoronana ambaratonga abstraction vaovao ary hitazona izay efa ampiasainy amin'ny asany andavanandro.
- Ny hevitra dia tokony hanana mazava ny ekipa tsirairay view amin'ireo singa mampidi-doza rehetra, izay ahitana singa vaovao sy lova. Ny antony manosika ny fitomboan'ny fahalianana amin'ny singa lova dia mifandray amin'ny fahafahantsika mijery ny sata fiarovana amin'ny vahaolana. Raha misy vahaolana, tianay ny hahita ny sata fiarovana ny faritra rehetra amin'ny vahaolana vaovao sy taloha.
- Amin'ny fampiharana dia midika izany fa ny ekipa tsirairay dia tsy maintsy mijery ny lisitry ny singa misy azy ary manao fanombanana ny risika.
- Ny zavatra voalohany tokony ho fantatsika dia raha efa nandalo fanadihadiana momba ny fiarovana ny singa. Raha tsy izany, dia tena tsy mahalala na inona na inona momba ny kalitaon'ny fiarovana ny singa.
Antsoinay ity fandrakofana fananana ity ary namaritra ireto ambaratonga manaraka ireto izahay:
| mikasika ny | Description |
| Tsy vita ny fanadihadiana | Ny singa dia tsy mbola nodinihina |
| Mitohy ny fanadihadiana | Eo am-panadihadiana ny singa |
| Famakafakana natao | Ny singa dia nodinihina |
Ny mari-pamantarana ampiasaintsika hikarohana ny kalitaon'ny fiarovana ny singa dia mifototra amin'ireo singa asa fiarovana ao amin'ny backlog izay mifandray amin'ilay singa. Izany dia mety ho fanoherana izay tsy nampiharina, tranga fitsapana izay tsy vita ary bibikely fiarovana izay tsy voavaha.
Sata vahaolana
Ny satan'ny vahaolana dia manambatra ny satan'ny fiarovana ho an'ny singa singa mandrafitra ny vahaolana.
Ny ampahany voalohany amin'ny satan'ny vahaolana dia ny fandrakofana ny famakafakana ireo singa. Izany dia manampy ny tompon'ny vahaolana hahatakatra raha fantatra ny sata fiarovana ny vahaolana na raha tsy izany. Amin'ny fomba fijery iray dia manampy hamantatra ireo teboka jamba izany. Ny sisa amin'ny satan'ny vahaolana dia misy metrika mirakitra ny kalitaon'ny fiarovana ny vahaolana. Manao izany izahay amin'ny fijerena ireo zavatra momba ny asa fiarovana izay mifandray amin'ireo singa ao amin'ny vahaolana. Ny lafiny manan-danja amin'ny satan'ny fiarovana dia ny baoritra voafaritry ny tompon'ny vahaolana. Ny tompon'ny vahaolana dia tsy maintsy mamaritra ny haavon'ny fiarovana mety amin'ny vahaolana. Ho an'ny example, midika izany fa ny vahaolana dia tsy tokony hanana zavatra miavaka amin'ny asa fanakianana na avo lenta misokatra rehefa avoaka eny an-tsena.
hetsika ASDM
Fanombatombanana ny loza mananontanona
Ny tanjona lehibe amin'ny fanombanana ny risika dia ny hanivana izay hetsika fampandrosoana izay mitaky asa fiarovana ao anatin'ny ekipa ihany koa.
Ny fanombanana ny risika dia atao amin'ny alàlan'ny fitsarana raha misy vokatra vaovao na endri-javatra fanampiny / novaina amin'ny vokatra efa misy dia mampitombo ny risika. Marihina fa tafiditra ao anatin'izany ihany koa ny lafiny tsiambaratelo momba ny angon-drakitra sy ny fepetra takiana. EkampNy fanovana misy fiantraikany amin'ny risika dia ny API vaovao, ny fanovana ny fepetra takiana, ny middleware vaovao, sns.
Data privacy
Ny fitokisana dia sehatra ifantohan'ny Axis ary, noho izany, dia zava-dehibe ny manaraka ny fanao tsara indrindra rehefa miasa amin'ny angon-drakitra manokana nangonin'ny vokatra, vahaolana ary serivisy.
Ny sehatra ho an'ny ezaka Axi mifandraika amin'ny tsiambaratelo angon-drakitra dia voafaritra mba ahafahantsika:
- Manatanteraka adidy ara-dalàna
- Fenoy ny adidy amin'ny fifanarahana
- Ampio ny mpanjifa hanatontosa ny adidiny
Zarainay ho sampana roa ny hetsika momba ny fiainana manokana:
- Tombana momba ny tsiambaratelon'ny data
- Natao nandritra ny fanombanana ny risika
- Mamantatra raha ilaina ny fanadihadiana momba ny fiainana manokana
- Fanadihadiana momba ny fiainana manokana
- Vita, raha azo atao, mandritra ny fandrahonana modely
- Mamantatra ny angona manokana sy ny fandrahonana ny angon-drakitra manokana
- Mamaritra ny fepetra takian'ny fiainana manokana
Fandrahonana modely
Alohan'ny hanombohantsika hamantatra ny fandrahonana dia mila manapa-kevitra momba ny sahan'ny maodely fandrahonana isika. Ny fomba anehoana ny sehatra dia ny famaritana ireo mpanafika izay ilaintsika hodinihina. Io fomba fiasa io ihany koa dia ahafahantsika mamantatra ireo sehatra fanafihana avo lenta izay tsy maintsy ampidirintsika amin'ny fanadihadiana.
- Ny fifantohana mandritra ny fandrahonana dia amin'ny fitadiavana sy fanasokajiana ireo mpanafika tiantsika hokarakaraina amin'ny fampiasana famaritana avo lenta momba ny rafitra. Ny famariparitana dia atao amin'ny alàlan'ny kisary fikorianan'ny angona (DFD) satria manamora ny fifandraisana amin'ny antsipiriany momba ny tranga fampiasana izay ampiasaina rehefa manao ny maodely fandrahonana.
- Tsy midika akory izany fa mila dinihina ireo mpanafika rehetra fantatray, midika fotsiny izany fa mibaribary sy mifanaraka amin'ireo mpanafika horesahinay amin'ny maodely fandrahonana izahay. Noho izany, amin'ny ankapobeny ireo mpanafika nofidiantsika hodinihina dia hamaritra ny haavon'ny fiarovana ny rafitra tombananay.
Mariho fa ny famaritana ny mpanafika dia tsy misy fiantraikany amin'ny fahaizan'ny mpanafika na ny antony manosika. Nisafidy ity fomba ity izahay mba hanatsorana sy hanamafisana ny fandrahonana modely araka izay azo atao.
Ny fandrahonana modely dia misy dingana telo azo averina araka izay hitan'ny ekipa fa mety:
- Farito ny rafitra mampiasa andiana DFD
- Ampiasao ny DFD hamantarana ny fandrahonana ary hamaritana azy ireo amin'ny fomba fanararaotana
- 3. Farito ny fanoherana sy ny fanamarinana ny fandrahonana
Ny vokatry ny hetsika fandrahonana maodely dia maodely fandrahonana izay misy fandrahonana atao laharam-pahamehana sy fanoherana. Ny asa fampandrosoana ilaina amin'ny fiatrehana ny fepetra dia tantanina amin'ny famoronana tapakila Jira ho an'ny fampiharana sy fanamarinana ny fepetra.
Famakafakana kaody static
Ao amin'ny ASDM, ny ekipa dia afaka mampiasa famakafakana kaody static amin'ny fomba telo:
- Workflow developer: mamakafaka ny kaody iasany ny developer
- Gerrit workflow: mahazo valiny amin'ny Gerrit ny developer
- Workflow lova: mamakafaka ireo singa lova mety hampidi-doza ny ekipa
Fandinihana ny vulnerability
Ny scanning vulnerability tsy tapaka dia ahafahan'ny ekipan'ny fampandrosoana hamantatra sy hametaka ireo vulnerabilities amin'ny rindrambaiko alohan'ny hamoahana ny vokatra ho an'ny daholobe, hampihenana ny loza ateraky ny mpanjifa rehefa mampiasa ny vokatra na serivisy. Ny fanindriana dia atao alohan'ny famoahana fitaovana, rindrankajy) na amin'ny fandaharam-potoana (serivisy) amin'ny alàlan'ny fonosana famandrihana vulnerability amin'ny loharano misokatra sy ara-barotra. Ny vokatry ny scan dia ampiasaina hamokarana tapakila ao amin'ny sehatra fanaraha-maso ny olan'ny Jira. Omena manokana ny tapakila tag ho fantatr'ireo ekipan'ny fampandrosoana ho avy amin'ny scan vulnerable ary tokony homena laharam-pahamehana ambony izy ireo. Ny scan vulnerability rehetra sy ny tapakila Jira dia voatahiry ao afovoany ho an'ny tanjona fanaraha-maso sy fanaraha-maso. Tokony hovahana mialoha ny famoahana na amin'ny famoahana serivisy manokana miaraka amin'ireo fahalemena hafa tsy mitsikera,
arahana sy voavaha mifanaraka amin'ny tsingerin'ny famoahana firmware na rindrambaiko. Raha mila fanazavana fanampiny momba ny fomba hamantarana sy hitantanana ny vulnerability, jereo ny fitantanana ny vulnerability amin'ny pejy 12
Fitsapana fidirana ivelany
Amin'ny tranga voafantina dia atao amin'ny vokatra Axis hardware na rindrambaiko ny fitiliana fidirana amin'ny antoko fahatelo. Ny tanjona lehibe amin'ny fanatanterahana ireo fitsapana ireo dia ny hanomezana fahatakarana sy toky momba ny fiarovana ny platrorm amin'ny fotoana manokana sy amin'ny sehatra iray manokana. Ny iray amin'ireo tanjonay voalohany amin'ny ASDM dia ny mangarahara ka mamporisika ny mpanjifanay izahay hanao fitiliana fidirana ivelany amin'ny vokatray ary faly izahay miara-miasa rehefa mamaritra ny mari-pamantarana mety amin'ny fitiliana ary koa ny fifanakalozan-kevitra momba ny fandikana ny valiny.
Fitantanana ny vulnerability
Axis dia, nanomboka tamin'ny 2021, fahefana nomena anarana CVE (CNA) voasoratra anarana ary noho izany dia afaka mamoaka tatitra CVE mahazatra amin'ny angon-drakitra MITRE ho fanjifana amin'ny scanner vulnerable amin'ny antoko fahatelo sy fitaovana hafa. Ny biraon'ny vulnerability (VB) no teboka fifandraisana Axis anatiny ho an'ny vulnerability hitan'ny mpikaroka ivelany. Tatitra momba ny
ny vulnerability hita sy ny drafi-panarenana manaraka dia ampitaina amin'ny alalan'ny product-security@axis.com adiresy mailaka.
Ny andraikitry ny birao vulnerability dia ny mamakafaka sy manao laharam-pahamehana ireo vulnerability voalaza amin'ny fomba fijery ara-barotra, mifototra amin'ny
- Fanasokajiana ara-teknika nomen'ny SSG
- Loza mety ho an'ny mpampiasa farany amin'ny tontolo iasan'ny fitaovana Axi
- Ny fisian'ny fanonerana ny fanaraha-maso fiarovana amin'ny fanalefahana ny risika tsy misy patch)
Ny VB dia manoratra ny laharan'ny CVE ary miara-miasa amin'ny mpanao gazety mba hanomezana isa CVSS ho an'ny vulnerability. Ny VB ihany koa dia mitondra fifandraisana ivelany amin'ny mpiara-miombon'antoka sy ny mpanjifa amin'ny alàlan'ny serivisy fampandrenesana fiarovana Axi, famoahana an-gazety ary lahatsoratra vaovao.
Modely Fampandrosoana fiarovana Axis © Axis Communications AB, 2022
Documents / Loharano
 |
AXIS Security Development Model Software [pdf] Boky Torolàlana Modely Fampandrosoana ny Fiarovana, Software, Software Modely Fampandrosoana ny fiarovana |
