Veri Diyotu Aracılığıyla Günlükler, Uyarılar ve Telemetri Verilerinin Gönderilmesi

Nasıl Yapılır?
Site çevirileri için yapay zeka kullanıyoruz ve doğruluk için çaba göstersek de her zaman %100 kesin olmayabilir. Anlayışınız için teşekkür ederiz.

OPSWAT Secure Çerçevesi: Dayanıklılık ve Derinlemesine Güvenlik Taahhüdü

Yazan OPSWAT
Son güncelleme tarihi:
Bu Gönderiyi Paylaş

OPSWAT güvenlik, yazılım geliştirme sürecimizin her aşamasına entegre edilmiştir. Secure (Software Yaşam Döngüsü) Çerçevemiz, ürünlerimizin en yüksek kalite ve uyumluluk standartlarını karşılamasını sağlayan yapılandırılmış metodolojileri, yönetişim uygulamalarını ve güvenlik ilkelerini ortaya koymaktadır. 

Çevik Software Geliştirme Yaşam Döngüsü üzerine inşa edilen ve uluslararası standartlar ve düzenleyici gerekliliklerle uyumlu olan OPSWAT'ın güvenli SDLC yaklaşımı, sürekli iyileştirme ve modern siber tehditlere karşı dayanıklılık konusunda derin bir kararlılığı yansıtmaktadır. 

Bu blog, uygulama güvenliği yönetişimimiz, geliştirici eğitim programlarımız, politika yapımız ve bu çerçevenin OPSWATmüşterilerine getirdiği değer dahil olmak üzere OPSWAT 'ın güvenlik taahhüdüne ilişkin ayrıntılı bilgiler içermektedir. Bu blogun PDF versiyonu için whitepaper'ımızı indirin.

1. Bu Belgenin Amacı

Bu belge, OPSWAT Secure Software Yaşam Döngüsü çerçevesini, programını ve sürecini tanımlayarak güvenlik gereksinimlerini, uyumluluk beklentilerini ve yönetişim ilkelerini ana hatlarıyla ortaya koymaktadır. Bu belge, OPSWAT ürün ekipleri için bir iç politika, tedarikçiler için bir uyumluluk beklentisi ve güvenli geliştirme uygulamalarımızla ilgilenen müşteriler için bilgilendirici bir kılavuz işlevi görmektedir.

2. Secure nedir? 

SDLC (Software Yaşam Döngüsü), yazılım ürünleri geliştirmek için bir dizi planlı faaliyetten oluşan bir süreçtir. Secure , gereksinim belirleme, tasarım, geliştirme, test ve işletim/bakım dahil olmak üzere Software Yaşam Döngüsünün her aşamasına güvenliği entegre eder.

3. Neden Secure ? 

Kötü niyetli aktörler kar veya kesinti için sistemleri hedef alarak kurumlar için maliyetlere, iş risklerine ve itibar kaybına yol açmaktadır. 

Yakın zamanda yapılan bir araştırmaya göre, bir güvenlik hatasını düzeltmenin maliyeti, analiz ve gereksinim aşamasına kıyasla üretimde keşfedildiğinde 30 kat daha yüksektir.

Secure uygulanması aşağıdaki avantajları sağlar:

  • Güvenlik açıklarını geliştirme sürecinin erken aşamalarında tespit ederek iş riskini azaltır.
  • Güvenlik açıklarını yaşam döngüsünün erken dönemlerinde ele alarak maliyetleri azaltır.
  • Tüm paydaşlar arasında sürekli güvenlik farkındalığı oluşturur.

4. OPSWAT Secure Çerçevesi

OPSWAT Secure Çerçevesi, güvenli yazılım geliştirmeye yön veren yapılandırılmış metodolojileri ve güvenlik ilkelerini tanımlar. 

OPSWAT , Çevik Software Yaşam Döngüsü’nü (Agile Software Lifecycle) OPSWAT . Müşterilerimizin gereksinimlerine tam olarak uyum sağlamak amacıyla, yasal gerekliliklere ve uluslararası standartlara uygun Secure Çerçevesi’ni benimsedik. Bu yaklaşım, sürekli gelişen siber güvenlik ortamında sürekli iyileştirme ve dayanıklılık konusundaki kararlılığımızı pekiştirmektedir.

NIST Secure Software Çerçevesi (SSDF)

OPSWAT Secure Çerçevesi, NIST SP 800-218 SSDF (Secure Software Çerçevesi) üzerine kurulmuştur ve yazılım geliştirme sürecinin tüm aşamalarında güvenliğin yapılandırılmış, ölçülebilir ve tutarlı bir şekilde uygulanmasını sağlar.  

OPSWAT , SSDF'nin en iyi uygulamalarını entegre ederek, planlama ve tasarımdan uygulama, doğrulama ve sürekli izlemeye kadar yazılım geliştirmenin her aşamasına güvenliği yerleştirerek proaktif bir güvenlik duruşu sağlar. 

Münferit ürünlerin uygunluğunun tasdiki, ABD Federal Hükümeti müşterilerimize talep üzerine sağlanmaktadır. Aşağıdaki iletişim bilgilerine bakınız.

AB Siber Dayanıklılık Yasası & NIS2 Direktifi

Siber güvenlik düzenlemeleri gelişmeye devam ederken, OPSWAT , Secure Çerçevesi’ni, öncelikle AB Siber Dayanıklılık Yasası ve NIS2 Direktifi olmak üzere küresel düzenleyici gerekliliklerle uyumlu hale getirmeye OPSWAT . OPSWAT , ortaya çıkan standartlara proaktif bir şekilde uyum sağlayarak, giderek karmaşıklaşan düzenleyici ortamda Secure kapsamlı, uyumlu ve dayanıklı kalmasını OPSWAT .

ISO 27001 Bilgi Güvenliği Yönetimi

Güçlü bir bilgi güvenliğinin sağlanması, hem operasyonel bütünlük hem de mevzuata uygunluk açısından hayati önem taşımaktadır. OPSWAT Secure Çerçevesi, ISO 27001 ISMS (Bilgi Güvenliği Yönetim Sistemi) ilkelerini bünyesinde barındırarak güvenlik kontrollerinin, risk yönetimi stratejilerinin ve uyum önlemlerinin bulut ürünlerimizin işleyişine sorunsuz bir şekilde entegre edilmesini sağlar. 

Güvenlik çözümlerimizin hem sağlayıcısı hem de tüketicisi olan OPSWAT , şirket içi güvenlik politikalarını uygulayarak sertifikalı ürünlerimizin dağıtımdan önce kurumsal düzeyde güvenlik beklentilerine uymasını sağlar.  

Uyumluluk ve Sertifikalar hakkında daha fazla ayrıntıya bakın.

ISO 9001 Kalite Yönetimi 

En yüksek yazılım kalitesi standartlarını sağlamak amacıyla, OPSWAT Secure Çerçevesi, ISO 9001 Kalite Yönetim Sistemi’ne (QMS) entegre edilmiştir. Kalite Yönetim Sistemi, yönetişim, değişiklik yönetimi ve işlevler arası süreçler için denetlenmiş kalite kontrolleri oluşturarak, ürün ve destek hizmetlerinin tanımlanmasını, tasarımını, geliştirilmesini, üretimini ve bakımını destekler; bu kapsam, Ar-Ge’nin ötesine geçerek satış, müşteri desteği, bilgi teknolojisi ve insan kaynakları gibi alanlara da uzanır.  

Bu yaklaşım, kalite yönetimine yönelik yapılandırılmış, risk temelli bir yaklaşıma olan bağlılığımızı pekiştirmekte ve uygulama güvenliğinin tüm iş fonksiyonlarında ayrılmaz bir husus olarak kalmasını sağlamaktadır.

Uyumluluk ve Sertifikalar hakkında daha fazla ayrıntıya bakın.

OWASP Software Güvencesi Olgunluk Modeli (SAMM)

OWASP Software Güvencesi Olgunluk Modeli (SAMM ), kuruluşların mevcut SDLC'leri içinde etkili yazılım güvenliği stratejilerini değerlendirmelerine, formüle etmelerine ve uygulamalarına yardımcı olmak için tasarlanmış kapsamlı bir çerçevedir.

Açık kaynaklı bir çerçeve olan SAMM, küresel katkılardan yararlanarak uygulama güvenliğine yönelik işbirliğine dayalı, sürekli gelişen bir yaklaşım sağlar. Yapılandırılmış metodolojisi, kuruluşlara geliştirme yaşam döngülerini analiz etmek ve iyileştirmek için etkili ve ölçülebilir bir yol sağlar. SAMM tüm geliştirme yaşam döngüsünü destekler. SAMM teknoloji ve süreçten bağımsızdır. SAMM evrimsel ve risk odaklıdır. Ekipler SAMM'den yararlanarak güvenlik açıkları hakkında eyleme geçirilebilir içgörüler elde eder ve geliştirme yaşam döngüsü boyunca güvenlik duruşlarını sistematik olarak geliştirebilirler.

OWASP Uygulama Güvenliği Doğrulama Standardı (ASVS)

OWASP Uygulama Güvenliği Doğrulama Standardı (ASVS), web uygulama güvenliği için yapılandırılmış, ölçülebilir ve uygulanabilir bir yaklaşım oluşturmak üzere tasarlanmış, dünya çapında tanınan bir çerçevedir. Geliştiricilere ve güvenlik ekiplerine, uygulamaların sektördeki en iyi uygulamaları karşılamasını sağlamak için kapsamlı bir dizi güvenlik gereksinimi ve doğrulama yönergesi sağlar. 

Açık kaynaklı bir çerçeve olan ASVS, küresel güvenlik topluluğunun geniş katkılarından yararlanarak, ortaya çıkan tehditler ve gelişen güvenlik standartları ile güncel kalmasını sağlar.

ASVS, uygulama güvenliği olgunluğu için bir ölçüt görevi görerek kuruluşların güvenlik duruşunu ölçmelerini ve güvenli geliştirme uygulamalarını sistematik olarak iyileştirmelerini sağlar. Kimlik doğrulama, yetkilendirme, oturum yönetimi ve erişim kontrolü gibi kritik alanları kapsayan ayrıntılı güvenlik kontrol listeleriyle ASVS, ürün ekiplerine güvenliği yazılım geliştirme yaşam döngüsü boyunca sorunsuz bir şekilde entegre etmeleri için açık ve uygulanabilir bir rehberlik sunar. ASVS'yi benimseyerek kuruluşlar güvenlik güvencesini artırabilir, uyumluluk çalışmalarını kolaylaştırabilir ve modern web uygulamalarındaki güvenlik açıklarını proaktif olarak azaltabilir. 

ASVS, uygulama geliştiricilerine ve sahiplerine uygulamalarındaki güvenlik ve güven düzeyini değerlendirmek için standartlaştırılmış bir araç sağlayan bir ölçüt görevi görür. Ayrıca, uygulama güvenlik gereksinimlerini karşılamak için gerekli güvenlik önlemlerinin ana hatlarını çizerek güvenlik kontrolü geliştiricileri için rehberlik görevi görür. ASVS, sözleşmelerdeki güvenlik doğrulama gereksinimlerini tanımlamak için güvenilir bir temeldir.

5. Uygulama Güvenliği Yönetişimi ve Eğitimi 

OPSWAT Secure Programı, Secure Çerçevesi’ni yapılandırılmış bir yönetişim sistemine dönüştürerek güvenlik gereksinimlerinin belgelenmesini, sürdürülmesini, ölçülmesini ve sürekli olarak iyileştirilmesini sağlarken, aynı zamanda tüm ilgili tarafların yeterli eğitimi almasını da garanti eder. Bu program, geliştirme, test ve üretim ortamları ile iş akışı güvenliği için roller, sorumluluklar ve güvenlik önlemlerini belirler; Secure Ortamı’nı tanımlar ve Secure Süreci kapsamında güvenlik politikalarının uygulanmasını zorunlu kılar.

Roller ve Sorumluluklar

Üst Düzey Yönetim - Baş Ürün Sorumlusu (CPO)

Ürün Direktörü (CPO), tüm ürün ekiplerinde Secure Programı’nın yanı sıra Kalite Güvencesi (QA) Programı ve Kullanıcı Deneyimi (UX) Programı gibi diğer Araştırma ve Geliştirme (Ar-Ge) programlarının stratejik denetiminden ve uygulanmasından sorumludur; böylece güvenli, yüksek kaliteli ve kullanıcı odaklı yazılım geliştirmeye yönelik tutarlı bir yaklaşımın sağlanmasını garanti eder.

Tüm ürünler ve Ar-Ge süreçlerinin birincil risk sorumlusu olarak CPO, Ar-Ge Operasyonları birimine Secure Programı’nın sorumluluğunu verir ve ürün liderlerinin Secure Programı’nın uygulanmasını sağladığından ve Secure Süreci’ni ürün ekiplerinde etkin bir şekilde hayata geçirdiğinden emin olur. Bu rolü kapsamında CPO, Secure Programı’nda yapılacak değişiklikleri ve Secure Süreci’nden sapmaları onaylar.

CPO ayrıca, ürünlerin sağlam bir güvenlik duruşunu sürdürmek amacıyla Secure Programı’nın sonuçlarını izler; güvenlik olgunluğu, güvenlik açıkları, uyumluluk ve geliştirme faaliyetlerini takip eder.

Buna ek olarak, CPO, Ar-Ge güvenlik bütçesinin tahsisi ve onaylanmasından sorumludur ve Secure Programı’na yeterli kaynak ayrılmasını sağlar.

Ar-Ge Faaliyetleri

Ar-Ge Operasyonları ekibi, yazılım mühendisliği liderleri ve uygulama güvenliği mühendislerinden oluşur ve yasal düzenlemelere ve güvenlik gerekliliklerine uyumu sağlar. Ar-Ge Operasyonları başkanı, hem Secure Çerçevesi’nin hem de Secure Ortamı’nın merkezi hizmetlerinin risk sorumlusudur; bu alanların sürekli iyileştirilmesini ve OPSWATgeliştirme süreçlerine entegrasyonunu denetler. 

Secure Programının sorumlusu olarak Ar-Ge Operasyonları, şirketin güvenlik politikaları ve diğer Ar-Ge programlarıyla koordineli bir şekilde programı sürdürmek ve geliştirmekle sorumludur. Bu, stratejik yol haritaları konusunda ürün liderleriyle uyum sağlamak, olgunluk seviyelerini her yıl yükseltmek için Güvenlik KPI’larını tanımlamak ve takip etmek ile ASVS gerekliliklerini gerektiğinde güncellemek gibi faaliyetleri içerir.  

İşbirliği bu pozisyonun temelini oluşturmaktadır; zira Ar-Ge Operasyonları birimi, Uygulama Güvenliği Sanal Ekibini koordine eder, ürün ekiplerine Secure Programı’nın uygulanmasında destek olur, tüm ürünlerin güvenlik durumlarını doğrular ve raporlar, sürekli güvenlik eğitimlerini sağlar ve uygulama güvenliği konusunda en iyi uygulamalara ilişkin uzman rehberliği sunar. 

Buna ek olarak, Ar-Ge Operasyonları birimi, Secure Ortamının merkezi hizmetlerini yönetir; şirket güvenlik politikalarına uyumu sağlar; kaynak kodun koruyuculuğunu üstlenir ve Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) araçlarının yapılandırılmasını denetler. Bu, CI/CD boru hattı içindeki kanıt toplama sürecinin yönetilmesini ve sıkı erişim kontrollerinin uygulanmasını da içerir.

Ürün Ekipleri

Ürün ekibi, ürünün özel ihtiyaçlarına bağlı olarak ürün lideri, yazılım mühendisleri, geliştiriciler, QA mühendisleri, saha güvenilirliği mühendisleri (SRE) ve çeşitli rollere sahip diğer ekip üyelerinden oluşur. 

Ürün lideri, kendi ürününün risk sorumlusudur; tüm ekip üyelerini denetler ve geliştirme sürecinin Secure Süreci’ne uygun şekilde yürütülmesini sağlar. Ekip, OPSWAT Secure Programı’nı yürütmek ve uygulamaktan sorumludur; böylece güvenliğin geliştirme sürecinin her aşamasına entegre edilmesini sağlar. 

Ekip, süreçleri, araçları ve CI/CD boru hattını özelleştirebilir; sürüm kriterlerini ve bütünlük önlemlerini belirlerken, Secure Süreci’nden sapmaları da belgelendirebilir. Ekip içinde bir güvenlik sorumlusu atanır; bu kişi, Uygulama Güvenliği Sanal Ekibi’nin güvenlikle ilgili toplantılarına katılmaktan ve güvenlik konularında ekip içinde etkili iletişimin sağlanmasından sorumludur. 

Ayrıca ekip, ürünün güvenlik duruşuna ilişkin kanıtların raporlanmasından, şeffaflığın sürdürülmesinden ve güvenlik standartlarına sürekli uyumun sağlanmasından sorumludur.

Uygulama Güvenliği Sanal Ekibi

Uygulama Güvenliği Sanal Ekibi, OPSWATürünlerinin güvenliğini sağlamaya odaklanmış, Ar-Ge Operasyonlarından uygulama güvenliği mühendislerinden ve her ürün ekibinden güvenlik şampiyonu olarak görev yapan atanmış mühendislerden oluşan çapraz ürün ekibidir. 

Düzenli toplantılar sırasında, güvenlik sorumluları güvenlik KPI’larındaki değişiklikler ve iş akışında güvenlikle ilgili CI/CD araçlarının önerilen kullanım şekli gibi konularda güncel bilgiler alırlar. Bu toplantılar ayrıca tarafların deneyimlerini paylaşmaları, güvenlikle ilgili sorunları tartışmaları ve Secure sürecini başlatmaları için bir platform sağlar. Buna ek olarak, güvenlik durumunu iyileştirmek ve tekrarlayan güvenlik açıklarını önlemek amacıyla kök neden analizine (RCA) aktif olarak katılırlar.

Güvenlik Programı Stratejisi

Stratejik Öncelikler

OPSWAT'ın uygulama güvenliğine yönelik stratejik planı, her bir ürünün olgunluk seviyesi ve güvenlik tehditlerine maruz kalma durumu göz önünde bulundurularak iş öncelikleri ve risk iştahı ile uyumlu hale getirilmiştir. Öncelikli odak noktası, yüksek riskli ürünlerin, özellikle de geniş bir müşteri tabanına, halka açık dağıtımlara veya kritik altyapıya entegrasyona sahip olanların korunmasıdır.

Güvenlik Bütçesi

Üçüncü taraf denetimleri, bağımsız sızma testleri ve CI/CD boru hattı içinde otomatik güvenlik testleri dahil olmak üzere temel güvenlik girişimleri ve araçları için Ar-Ge Operasyonları altında özel bir güvenlik bütçesi ayrılmıştır.

Otomasyon ve Bağımsız Doğrulama

Ürün güvenliği risklerini en aza indirmek için OPSWAT , risk değerlendirmelerine dayalı olarak önleyici güvenlik tedbirlerine öncelik vermektedir. Bu, geliştirme yaşam döngüsü boyunca güvenlik açıklarının erken tespit edilmesini ve düzeltilmesini sağlayan otomatik güvenlik taramasının CI/CD boru hattı düzenlemesi içine entegrasyonunu içerir. 

Ayrıca, dahili değerlendirmeler, üçüncü taraf denetimleri ve bağımsız sızma testleri, tek noktadan bağımlılıkları ortadan kaldırarak ve yapılandırılmış, çok katmanlı bir doğrulama süreci sağlayarak güvenliği güçlendirir. Bu yaklaşım, risk tanımlama ve azaltma çabalarını güçlendirerek güvenlik açıklarının kapsamlı bir şekilde ele alınmasını ve bağımsız güvenlik uzmanları tarafından doğrulanmasını sağlar.

Kritik Altyapılarda Güvenlik Önceliklendirmesi

Koruma CIP (kritik altyapı koruması) bağlamında güvenlik, özellikle yasal gereklilikler veya kalite özellikleriyle çeliştiği nadir durumlarda en yüksek öncelik olmaya devam etmektedir. Karar alma süreci bu yol gösterici ilkeleri takip eder:

  • Güvenlik, gizlilik, çevre veya sürdürülebilirlik düzenlemeleriyle ilgili mevzuat çatışmalarından daha önceliklidir. 
  • Güvenlik ve güvenilirlik; kullanılabilirlik, sürdürülebilirlik ve uyumluluk (ISO/IEC 25010 uyarınca) gibi diğer kalite özelliklerinden daha ağır basmaktadır. 
  • Sistem güvenilirliğinin erişimi kısıtlamaktan daha kritik olduğu durumlarda bütünlük ve kullanılabilirlik gizliliğe göre önceliklidir (ISO/IEC 27001 uyarınca).

Güvenlik Eğitimi ve Farkındalık

Secure Programı kapsamında, şirketin genel güvenlik farkındalık eğitimlerine ek olarak, güvenli yazılım geliştirme sürecine dahil olan tüm personel için göreve özel güvenlik eğitimi zorunlu kılınmaktadır. Tüm eğitimler, şirketin eğitim araçları aracılığıyla takip edilmektedir. Eğitim ve farkındalık programları, yeni güvenlik trendlerini içerecek ve güvenlik standartlarına sürekli uyumu sağlayacak şekilde periyodik olarak gözden geçirilmektedir.

Farkındalık Girişimleri

  • Şirket güvenlik girişimleri ile uyumlu altyapı ve personel güvenlik testleri. 
  • Ürünlerin ve altyapının dahili güvenlik açığı taraması. 
  • Günlük iç ve dış ağ taramaları. 
  • Sosyal mühendislik kampanyaları.

Role Özel Eğitimler

  • Ürün ekipleri için OWASP Top 10, API güvenlik testi ve bulut güvenliği eğitimini kapsayan eğitim kampanyaları. 
  • Aşağıda belirtilen politikalar hakkında ürün ekiplerine yönelik eğitim kampanyaları. 
  • Geliştiriciler, özel bir öğrenme platformu aracılığıyla sürekli güvenli kodlama eğitimine katılır.

İşe Alım

  • Yeni çalışanların işe alımı, rollerine göre ilgili tüm güvenlik eğitimlerini içerir. 
  • Güvenlik şampiyonları, Uygulama Güvenliği Sanal Ekibine katıldıklarında özel bir işe alım eğitiminden geçerler.

Ölçüm ve Sürekli İyileştirme

OPSWAT , sürekli güvenlik etkinliğini sağlamak amacıyla yapılandırılmış performans ölçümleri, olgunluk değerlendirmeleri ve düzenli güncellemeler yoluyla Secure Programını sürekli olarak geliştirmeye OPSWAT .  

Güçlü bir güvenlik duruşunu korumak için OPSWAT , güvenlik performansını izlemek ve iyileştirmek için sistematik bir yaklaşım kullanır. Bu, üç ayda bir yapılan ürün güvenliği olgunluk değerlendirmelerini, en iyi uygulamalara bağlılığı doğrulamak için dahili güvenlik incelemelerini ve üç ayda bir ölçülen yıllık Temel Performans Göstergelerinin (KPI'lar) tanımlanmasını içerir.  

Uygulama güvenlik durumunu etkin bir şekilde ölçmek için OPSWAT , ekipleri yapılandırılmış metrikler kullanarak OPSWAT . Ürün güvenlik olgunluğu, SAMM çerçevesine dayalı olarak ekip bazında değerlendirilir ve bu sayede güvenlik alanındaki ilerlemenin nicel olarak ölçülebilir bir göstergesi sağlanır. Ayrıca, güvenlik doğrulama gerekliliklerine uyulduğundan emin olmak için ürünler bir ASVS uyumluluk değerlendirmesinden geçirilir. Secure Süreci’ne uyum yakından izlenir ve değerlendirilir; KPI hedeflerine ulaşılması kanıta dayalıdır. Bu sayede, hem güvenlik durumu hem de güvenlik iyileştirmelerinin ölçülebilir ve eyleme geçirilebilir olması sağlanır. Tüm ürün ekiplerinin, yıllık performans değerlendirmelerinin bir parçası olarak güvenlik olgunluk hedeflerini karşılamaları zorunludur. 

Sürekli iyileştirme çabalarının bir parçası olarak OPSWAT , olgunluk seviyelerini artırmak ve uygulama güvenliğini güçlendirmek için periyodik olarak yeni ürün güvenlik girişimleri başlatmaktadır. Bu girişimler, ortaya çıkan tehditleri ele almak için güvenlik politikalarının güncellenmesini, gelişmiş tespit ve önleme için yeni güvenlik araçlarının entegre edilmesini ve sürekli ilerlemeyi sağlamak için KPI hedeflerinin genişletilmesini içerir. 

Güvenlik yönetişimini daha da güçlendirmek amacıyla OPSWAT , Secure çerçevesini yıllık olarak gözden OPSWAT ; bu süreçte geçmiş güvenlik olaylarının kök neden analizlerinden elde edilen bulguları, güvenlik açığı eğilimlerine ilişkin değerlendirmeleri ve mevcut süreçler ile politikalarda yapılan iyileştirmeleri dikkate alır.  

Sürekli iyileştirmeye yönelik bu yapılandırılmış yaklaşım, OPSWAT 'in proaktif ve dirençli bir ürün güvenliği duruşunu sürdürmesini, hem düzenleyici hem de operasyonel güvenlik hedeflerini karşılarken gelişen siber güvenlik zorluklarına etkili bir şekilde uyum sağlamasını sağlar.

Secure Yaşam Döngüsü Süreci

Secure Süreci, her geliştirme aşamasında otomatik güvenlik kontrolleri ve doğrulama mekanizmaları gibi belirli faaliyetler de dahil olmak üzere, ekiplerin uyması gereken güvenlik kontrollerini tanımlayarak Secure Programını daha da işlevsel hale getirir. Bu süreç, Kalite Güvence Programı ve Kullanıcı Deneyimi Programı gibi diğer önemli Ar-Ge programlarıyla uyumlu olup, güvenli, yüksek kaliteli ve müşteri odaklı yazılım geliştirmeye yönelik tutarlı bir yaklaşım sağlar. 

Secure Süreci, aşağıdaki bölümlerde ayrıntılı olarak açıklanmaktadır:

Secure Süreci, genel bir süreçtir; ekipler, sürecin güvenliğinin asgari düzeyde tutulması şartıyla, bu süreci genişletilmiş ve özelleştirilmiş bir şekilde uygulayabilirler. Secure Sürecinden sapmalar belgelenmeli ve onaylanmalıdır.

Secure Programı Kapsamındaki Politikalar

Secure Programı, programın gerekliliklerine uyumu sağlamak amacıyla ürün ekipleri tarafından resmi olarak onaylanması ve kabul edilmesi gereken çeşitli ilkelerden oluşmaktadır. Bu ilkelere uyum, kurum içinde zorunludur ve her ekip, geliştirme süreçlerinin bir parçası olarak bu ilkeleri gözden geçirmek, imzalamak ve uygulamaktan sorumludur. 

Aşağıda, ilgili amaçlarıyla birlikte temel politikaların bir listesi yer almaktadır. Harici öneme sahip politikalar için ek ayrıntılar bu belgeye dahil edilmiştir.

PolitikaTanım
Uygulama Güvenliği Doğrulama PolitikasıBu politika, ürünlerin güvenliğinin doğrulanmasını ayrıntılı olarak tanımlar, daha fazla ayrıntı için Uygulama Güvenliği Testi ve Doğrulaması bölümüne bakın.
Yayın Bütünlüğü PolitikasıBu ilke kod imzalama gereksinimlerini tanımlar, daha fazla ayrıntı için Sürüm Bütünlüğü bölümüne bakın.
SBOM Yönetim PolitikasıSBOM yönetim ilkesi, kullanılan üçüncü taraf bileşen kayıt defterinin güncel durumunu sağlamayı amaçlar. Bu, üçüncü taraf yasal ve güvenlik riskleriyle ilgilenen diğer ilkelerin temelini oluşturur.
Supply Chain Güvenlik PolitikasıBu politika, açık kaynak veya üçüncü taraf bileşenlerinin kullanım koşullarını ve satıcı değerlendirmesi de dahil olmak üzere yeni açık kaynak veya üçüncü taraf bileşenlerini tanıtmak için bir süreci tanımlar, daha fazla ayrıntı için Satıcı Değerlendirmesi bölümüne bakın.
Ürün Vulnerability Management PolitikasıBu politika, açık kaynaklı, üçüncü taraf ve dahili güvenlik açıkları için düzeltme zaman dilimlerini tanımlar ve tüm ürünlerde güvenlik yamalarının işlenmesine yönelik prosedürleri belirler. Güvenlik açıklarının değerlendirilmesini, önceliklendirilmesini ve tanımlanan zaman çizelgeleri içinde çözülmesini sağlar.
Ömrünü Tamamlamış Bileşen Yönetimi PolitikasıÖmrünü tamamlamış (EOL) bileşenler güvenlik riski oluşturur ve bu nedenle ürünlerimizde kullanılmasına izin verilmez. Bu politika, bir bileşen kullanım ömrünün sonuna ulaştığında ortaya çıkan beklenmedik durumların yönetimini özetlemektedir.
Ürün Gizliliği Uyum PolitikasıBu politika, ürünler için gizlilik uyumluluk gereksinimlerini ve uygulanacak uygun güvenlik kontrollerini tanımlar.
Kötü Amaçlı Yazılım Örnekleri İşleme PolitikasıBu politika, ortamlarımızda kötü amaçlı yazılım vakalarını önlemek için canlı kötü amaçlı yazılım örneklerinin güvenli bir şekilde ele alınmasına yönelik prosedürleri tanımlar.
Yapay Zeka Kullanım PolitikasıYapay Zeka Kullanım Politikası, müşterilerimizin güvenliğini sağlamak için geliştirmede Yapay Zeka (AI) kullanımını kısıtlamaktadır. YZ yalnızca yardımcı bir araç olarak hizmet verirken, bireysel geliştiriciler geliştirme sürecinden tamamen sorumlu olmaya devam eder. YZ araçları yalnızca özel modda kullanılabilir ve kaynak kodunun veya güvenlikle ilgili diğer bilgilerin dışarı sızmasını kesinlikle önler.
Ürün Güvenlik Açığı Açıklama PolitikasıBu politika, güvenlik açıklarının yönetilmesine ilişkin rol ve sorumlulukları tanımlamakta olup, “Ürün Vulnerability Management belirtildiği üzere, tespit ve düzeltme aşamalarından koordineli bilgilendirme aşamasına kadar tüm yaşam döngüsünü kapsamaktadır. Daha fazla ayrıntı için Secure ve Bakım” bölümüne bakınız.

6. Secure ve Risk Değerlendirmesi

Secure Süreci kapsamında, güvenlik gereksinimleri geliştirme yaşam döngüsü boyunca takip edilir, belgelenir ve sürdürülür. Üçüncü taraf tedarikçilerin ASVS’yi kabul etmeleri ve bu standartlara uymaları zorunludur; bu sayede tüm yazılım bileşenlerinde güvenlik beklentilerinde tutarlılık sağlanır ve Ürün Gizlilik Uyumluluk Politikasına uyum garanti altına alınır. 

Güvenlik, geliştirme yaşam döngüsünün her aşamasına entegre edilmiştir. Güvenlik sorumlularının görevi, Secure Süreci’nin beklentilerini göz önünde bulundurmak ve bunları ekiplerinde temsil etmektir. 

Secure gereklilikleri kümesi, ASVS temelli işlevsel ve işlevsel olmayan güvenlik gerekliliklerini içerir. Tasarım kararlarını desteklemek amacıyla Ar-Ge Operasyonları birimi tarafından referans modeller sunulur; ayrıca gerekirse ASVS gerekliliklerine ilişkin belgelenmiş uyarlamalar da sağlanır (örneğin, daha güçlü şifreleme gereklilikleri).

Tehdit Modellemesi

Tehdit modelleme, geliştirme yaşam döngüsünün en erken aşamalarında tehditleri ve güvenlik açıklarını belirlemeye yönelik yapılandırılmış bir süreçtir. Bu süreç, Secure Süreci’nin ayrılmaz bir parçasıdır ve düzenli olarak — en az yılda bir kez ya da yeni özellikler veya mimari değişiklikler getirildiğinde — yürütülür. Ürün ekipleri, güvenlik hedeflerini tanımlayarak, varlıkları ve bağımlılıkları belirleyerek, olası saldırı senaryolarını analiz ederek ve tespit edilen tehditleri azaltarak tehdit modelleme işlemini gerçekleştirir.  

Veri akışı analizi ve yerleşik tehdit modelleme uygulamalarını (örneğin STRIDE modeli) içeren gelişmiş bir yaklaşım, ürünler arasında kapsamlı bir değerlendirme yapılmasını sağlar. Gerektiğinde, güvenlik gereksinimlerine uygunluğu doğrulamak ve potansiyel riskleri proaktif olarak ele almak için Güvenlik İncelemeleri başlatılır. Tasarım kararları dikkatlice belgelenir ve kalan riskler ürün yaşam döngüsü boyunca sürekli olarak izlenir.

Risk Değerlendirme ve Azaltma

Uygulama güvenlik riskleri, tehdit modellemesi sırasında belirlenen artık tehditler, OWASP Top 10 ve SANS Top 25'te yer alanlar gibi yaygın olarak tanınan güvenlik açıkları ve ASVS yönergelerine dayalı eksik güvenlik kontrolleri dahil olmak üzere birden fazla kaynak kullanılarak değerlendirilir. Ek risk faktörleri arasında derleme, dağıtım ve sürüm süreçleri boyunca gizli yönetimdeki zayıflıkların yanı sıra açık kaynaklı ve üçüncü taraf bileşenlerdeki güvenlik açıkları da yer alır. 

Risk değerlendirmesinin ardından, belirlenen risklerin şiddetini azaltmak için hem etki hem de olasılığı dikkate alan hafifletme planları geliştirilir. Bu planlar, ilgili riskler ve hafifletme adımları ile birlikte kapsamlı bir şekilde belgelenir. 

Artık riskler ürün yaşam döngüsü boyunca takip edilir ve periyodik incelemeye tabi tutulur ve risk sahipleri tarafından resmi olarak onaylanmalıdır. Ayrıca görünürlüğü ve hesap verebilirliği korumak için dahili sürüm raporlarına dahil edilirler. 

Gerektiğinde, güvenlik gereksinimlerine uygunluğu sağlamak ve olası riskleri proaktif olarak ele almak için Güvenlik İncelemeleri başlatılır ve ürünün genel güvenlik duruşu güçlendirilir.

Secure İçin En İyi Uygulamalar

Secure İlkeleri, arzu edilen ürün özellikleri, davranışları, tasarımları ve uygulama yöntemlerinin bir araya getirilmesidir.  

Ürün ekibi, “En Az Ayrıcalık”, “Güvenli Arıza”, Secure ” ve “En Az Ortak Mekanizma” gibi güvenlik işlevselliğiyle ilgili ilkeleri uygulamalıdır. 

Ürün ekibi, Derinlemesine Savunma, Açık Tasarım İlkesi, Mevcut Bileşenlerden Yararlanma gibi güvenli yazılım mimarisiyle ilgili ilkeleri uygulamalıdır.  

Ürün ekibi, Kullanıcı Deneyimi Programı ile tutarlı olarak tasarımda Psikolojik Kabul Edilebilirlik ve Mekanizma Ekonomisi gibi kullanıcı deneyimi ile ilgili İlkeleri uygulamalıdır.  

Ürün ekipleri, mimaride ve güvenlik veya güvenlik dışı özelliklerde güvenlik kusurlarını önlemek için gerekli olan bu ve diğer tüm son teknoloji ilkelere uymalıdır.  

Ürün ekiplerinin Secure İlkelerini uygulamalarına destek olmak amacıyla Ar-Ge Operasyonları, bu ilkelere dayalı çeşitli kılavuzlar ve kritik güvenlik özelliklerine yönelik güvenlik referans modelleri sunmaktadır. 

Ürün ekibinin, kötüye kullanım ve suistimal durumları için testler de dahil olmak üzere işlevsel ve işlevsel olmayan güvenlik gereksinimleri için güvenlik test senaryolarını, saldırı modelleri (ör. DOM tabanlı çapraz site komut dosyası oluşturma, Çapraz Site Komut Dosyası Enjeksiyonu) ve test araçları da dahil olmak üzere test verilerini tanımlayan Kalite Güvence Programı ile tutarlı bir Güvenlik Test Planı oluşturması gerekmektedir.

7. Secure , Derleme ve Dağıtım

Uygulama, Derleme ve Dağıtım aşamalarını içeren Secure Süreci kapsamında, Secure ve Risk Değerlendirmesi temelinde güvenlik açıklarının ve kusurların önlenmesi hedeflenmektedir. Gereksinim seti, ASVS temelli işlevsel ve işlevsel olmayan güvenlik gereksinimleri ile Secure Ortamına dayanan güvenli geliştirme ve test metodolojisine ilişkin beklentileri içermektedir.  

Uygulama aşamasında, Secure En İyi Uygulamaları, Secure İncelemesi ve Güvenlik Açıklarının Erken Tespiti ilkeleri uygulanmalıdır. Ekipler, Supply Chain Politikası’na (tedarikçi kabul süreci ve açık kaynaklı yazılım konuları dahil), Yapay Zeka Kullanım Politikası’na ve Kötü Amaçlı Yazılım Örneklerinin Yönetimi Politikası’na uymak zorundadır. Derleme ve dağıtım aşamalarında, merkezi CI/CD boru hattının kullanıldığı Secure ve Dağıtım ile Görev Ayrılığı ilkeleri zorunludur.

Secure İçin En İyi Uygulamalar

Ürün ekipleri, uygulama sırasında dilden bağımsız güvenli kodlama en iyi uygulamalarını takip etmelidir. Girdi verilerini doğrulamaları, diğer sistemlere gönderilen verileri sterilize etmeleri, derleyici uyarılarını ortadan kaldırmaları, güvenli hata mesajları ayarlamaları, uygun olduğunda çıktı kodlaması uygulamaları, hassas verileri açığa çıkarmadan güvenli günlük kaydı uygulamaları ve uygun hata işleme ve istisna yönetimi yönergelerini izlemeleri gerekir. Ekipler ayrıca, eğer kullanılıyorsa, kriptografinin onaylı algoritmalara ve güvenli rastgele sayı üretimine dayandığından emin olmalı ve belleği güvenli bir şekilde işleyerek, yarış koşullarını önleyerek ve uygun senkronizasyon yoluyla kilitlenmeleri önleyerek sistem kaynaklarını güvenli bir şekilde yönetmelidir. 

Ürün ekiplerinin ayrıca aşağıda örneklendiği gibi SAST araçları tarafından uygulanan dile özgü güvenli kodlama yönergelerini takip etmeleri tavsiye edilir: 

Java için, ekipler karşılaştırma işlemlerinde kullanılan anahtarların değişmez olduğundan emin olmalı, Random yerine SecureRandom kullanmalı ve girdi sınıflarını doğrulayarak veya kısıtlayarak güvensiz serileştirmeden kaçınmalıdır.

C++'da, bellek ayırma hatalarının tespit edilmesi ve ele alınması, sınır denetimi ve std::unique_ptr() gibi akıllı işaretçilerin kullanılması yoluyla arabellek taşmalarının önlenmesi ve strcpy() ve sprintf() gibi güvenli olmayan işlevlerden kaçınılması önerilir. 

Python için, geliştiriciler kod ekleme risklerini azaltmak için eval() veya exec() gibi işlevleri kullanmaktan kaçınmalı ve güvenilmeyen verileri işlerken pickle yerine json modülü gibi güvenli serileştirme biçimlerini tercih etmelidir.

Secure İncelemesi

Uygulama Güvenliği Doğrulama Politikası kapsamında gerekli olan Güvenlik İncelemelerinin bir parçası olarak, güvenli kod incelemesi büyük önem taşımaktadır ve bu inceleme, geliştirme teknolojisine bağlı olarak gerçekleştirilir; bu süreçteOWASP Cheatsheet serisinedayalı çeşitli Secure İnceleme Kontrol Listeleri uygulanır.

Güvenlik Açıklarının Erken Tespiti

Uygulama Güvenliği Doğrulama Politikasının gerektirdiği gibi, güvenlik kusurlarının erken tespiti geliştirme sürecinin kritik bir bileşenidir. Potansiyel güvenlik sorunlarını en aza indirmek için, güvensiz kodun boru hattında ilerlememesini sağlayan "başarısız derleme" yaklaşımı zorunludur. Ayrıca, değişikliklerin entegre edilmesinden önce ekiplerin tespit edilen sorunları gidermesini gerektiren bir "birleştirme başarısız" yaklaşımı zorunludur. Tespit edilen kusurların giderilmesi, sürüm kriterlerinin karşılanması için çok önemlidir.

Secure ve Dağıtım

Secure sürecinin bir parçası olarak, güvenli derlemeleri sağlamak ve tedarik zinciri saldırılarını önlemek için merkezi ve koordine edilmiş bir CI/CD boru hattının kullanılması zorunludur. Denetim, derleme ve dağıtım günlükleri, şirket güvenlik politikalarında tanımlandığı şekilde oluşturulur, saklanır ve incelenir. 

Her ürün ekibi, uygun olan yerlerde güvenli derleme ve derleyici yapılandırmalarını takip etmekten sorumludur. Güvenli derleyici seçenekleri kullanmalı, hata ayıklama kodunu devre dışı bırakmalı, yorumlanan diller için çalışma zamanlarını sağlamlaştırmalı, bağımlılık sürümlerini sabitlemeli, tekrarlanabilir derlemeler sağlamalı ve kapsayıcı görüntülerini sağlamlaştırmalıdırlar. Kullanılan konfigürasyonlar belgelenmeli ve periyodik olarak gözden geçirilmelidir. 

Görevler Ayrılığı ilkesine uygun olarak, kod veya derleme erişimi olan geliştiriciler ve diğer ekip üyeleri üretim ortamına erişemez. Bulut ürünleri söz konusu olduğunda, yalnızca ürünün saha güvenilirliği mühendislerinin üretim ortamına dağıtım yapmasına izin verilir.

Mevcut Bileşenlerden Yararlanma

Ürün ekipleri, belirli güvenlik işlevleri için sektördeki en iyi uygulamalara bağlı kalmaktadır (örneğin, FIPS 140-3 uyumlu kriptografi). Açık Tasarım ilkesine uygun olarak, bu güvenlik özellikleri için yaygın olarak kabul gören açık kaynaklı bileşenler kullanıyoruz.

Üçüncü taraf bileşenlerin güncel kalmasını sağlamak için Ömrünü Tamamlamış Bileşen Yönetimi Politikamıza bağlı kalıyoruz.

İster şirket içi kullanım için ister diğer ürünlerde alt bileşen olarak kullanılsın, şirket içinde geliştirilen bileşenler Secure Süreci’ne uymalı ve aynı güvenlik gerekliliklerini karşılamalıdır.

Bulut ürünlerimiz, belirli güvenlik özelliklerini uygulamak için ortak, dahili olarak geliştirilen bileşenleri kullanır.

8. Uygulama Güvenliği Testi ve Doğrulaması 

Uygulama Güvenliği Doğrulama Politikamıza göre, tespit edilen sorunlar için resmi belgeleme ve takip süreçleri uyguluyor ve sürekli doğrulama amacıyla otomatik araçlar kullanıyoruz. Secure Süreci kapsamında, uyumluluk gerekliliklerini karşılamak üzere SDLC’nin her aşamasında güvenlik kontrolleri uygulanmakta ve takip edilmektedir. Bunların amacı, olası güvenlik açıklarını verimli bir şekilde tespit etmektir. Ortaya çıkan güvenlik sorunları ekipler tarafından incelenir ve belirlenen süre içinde çözülür. Bu süreler, tanımlanmış güvenlik KPI’larının bir parçasıdır.

Güvenlik İncelemeleri

  • Mimari ve Tasarım İncelemeleri: Kıdemli mühendisler ve Uygulama Güvenliği Sanal Ekibi üyeleri, şifreleme, kimlik doğrulama, yetkilendirme, denetim, sistem sertleştirme, sistem ve ağ mimarisi dahil olmak üzere tasarım değişikliklerinde güvenlik hususlarını değerlendirir. 
  • Kod İncelemeleri: Akran ve kıdemli mühendisler tarafından yapılan düzenli kod incelemelerine ek olarak, Uygulama Güvenliği Sanal Ekibi üyeleri, enjeksiyon, hata işleme ve güvensiz yapılandırmalar gibi yaygın kusurları önlemek için değişiklikleri gözden geçirir.

Güvenlik Sorunlarının Erken Tespiti

  • Gizli bilgilerin dışarı sızmasını önlemek ve gizli bilgilerin işlenmesinin iyi tasarlanmasını ve güvenli bir şekilde uygulanmasını sağlamak için Gizli Tarama.
  • Güvenlik açıklarını tespit etmek için SAST (Statik Uygulama Güvenlik Testi) araçları (ör. SQL Injection, Buffer Overflows).
  • SCA (Software Kompozisyon Analizi) açık kaynak güvenlik açıklarını tespit etmek için kullanılır.
  • DAST (Dinamik Uygulama Güvenlik Testi) çalışma zamanı (örneğin bellek kusurları) ve ortam sorunlarını bulmak için kullanılır

Güvenlik Sorunlarının Erken Tespiti bölümünde tanımlanan araçların CI/CD boru hattında kullanılması zorunludur. Tanımlanan tüm güvenlik açıkları, Ürün Güvenlik Açığı Vulnerability Management Politikası uyarınca giderilmelidir.

Güvenlik Testi

Hem otomatik hem de manuel güvenlik testi metodolojileri, Güvenlik Test Planını yürüten Kalite Güvence Programı ile tutarlı olarak kullanılır.

  • DAST araçları , çalışma zamanı güvenlik açıklarını tespit etmek, varsayılan yapılandırmaları test etmek ve sertleştirme önerilerini uyguladıktan sonra sistemin dayanıklılığını test etmek için kullanılır. Testler hem yazılımı hem de altta yatan altyapıyı hedef alır. 
  • Güvenlik gereksinimlerinde ve özelliklerinde gerilemeyi önlemek için, güvenlik özelliklerinin ve kontrollerinin bütünlüğünü sürekli olarak doğrulamak üzere otomatik test araçları kullanıyoruz. 
  • Manuel testler , bilgi sızıntısına yönelik kontrollerin doğrulanması, iş mantığı kusurlarının belirlenmesi ve bağlamsal güvenlik açıkları gibi otomatik araçların yetersiz kaldığı durumlarda uygulanır. 
  • Geliştirme yaşam döngüsündeki eserlerin otomatik Kötü Amaçlı Yazılım Taraması da güvenlik sorunlarının önlenmesine odaklanan adımların bir parçasıdır.

Sızma testi

Sızma testi, hem dahili sızma testi ekibi hem de bağımsız harici satıcılar tarafından düzenli olarak ve talep üzerine gerçekleştirilir. Güvenlik şampiyonları, sorunların kod veya yapılandırma değişikliği gerektirip gerektirmediğini belirlemek için bulunan güvenlik açıklarını önceliklendirir. Kod değişikliği gerektiren güvenlik açıkları için ürün biriktirme listeleri oluşturulur ve mümkün olan en kısa sürede çözülür. 

Bireysel ürünler için sızma testi raporu talep üzerine müşterilerimize sağlanmaktadır. Bize ulaşın.

9. Secure 

Secure Süreci’nin bir parçası olarak, sürüm yayınlama süreci, Uygulama Güvenliği Test ve Doğrulama çalışmalarından elde edilen bulgulara dayanarak hem Secure Süreci’ne uyumu hem de ürünün genel güvenliğini sağlayan sürüm yayınlama kriterlerini uygular. Ürün sürümleme, her sürüm için temel bir gereklilik olarak, sürümler arasında güvenlik iyileştirmelerinin sürdürülmesinde, güvenlikle ilgili gerilemelerin önlenmesinde ve elde edilen güvenlik durumunun korunmasında hayati bir rol oynar. 

Sürüm süreci, kalan riskleri ve bekleyen güvenlik sorunlarını belgeleyen dahili sürüm raporlarının oluşturulmasını içerir. Bu raporlar ürün lideri tarafından resmi olarak onaylanmalıdır. Ayrıca, harici sürüm notları, ürünün resmi sürümünün bir parçası olarak güvenlikle ilgili değişiklikleri ve düzeltmeleri bildirir. 

Bulut ürünleri için dağıtım, "dağıtımda başarısız" otomasyon yaklaşımını izleyerek yalnızca güvenli yapıların yayınlanmasını sağlar. Uygulama Güvenliği Testi ve Doğrulaması, üretim dağıtımından önce güvenlik doğrulamasını güçlendiren bir itme yerine operasyonel bir çekme stratejisi ile dağıtım hattına entegre edilmiştir. 

SBOM Yönetim Politikası uyarınca, her sürüm, bileşen kaynağının izlenebilirliğini korumak, şeffaflığı ve tedarik zinciri güvenliğini desteklemek için bir Software Bill of Materials (SBOM) ) içerir. Gerekli tüm sürüm dosyaları, uzun vadeli erişilebilirliği sağlamak için güvenli bir şekilde arşivlenir.

Bütünlüğü Serbest Bırakın

Sürüm Bütünlüğü Politikasına göre, ürün sürümlerinin bütünlüğünü ve güvenliğini korumak için, değişikliklerin net bir şekilde izlenebilirliğini ve dokümantasyon da dahil olmak üzere yayınlanan tüm eserler için tanımlanmış bir saklama süresini sağlayan yapılandırılmış bir sürümleme sistemi (örn. Semantik Sürümleme) uygulanmaktadır. Güvenliği daha da artırmak için, yazılım eserleri şirketin adı altında dijital olarak imzalanır ve yayınlanan SHA parmak izleri, kullanıcıların orijinalliği doğrulamasına ve herhangi bir tahrifat girişimini tespit etmesine olanak tanır. 

Her sürüme eşlik eden sürümlü belgeler , bütünlük doğrulama yöntemleri, güvenli kurulum prosedürleri, en iyi yapılandırma uygulamaları ve sistem güçlendirme önlemleri hakkında ayrıntılı rehberlik sağlar. Bu kaynaklar, kullanıcıların güvenlik kontrollerini etkili bir şekilde uygulamalarına yardımcı olarak potansiyel saldırı yüzeylerini azaltır. Ayrıca, uyumluluk yükümlülüklerini belirlemek ve yasal şeffaflığı sürdürmek için Son Kullanıcı Lisans Sözleşmesi (EULA) eklenmiştir. 

Bireysel ürünler için SBOM, talep üzerine müşterilerimize sağlanmaktadır. Bize ulaşın.

10. Secure ve Bakım

Operasyon ve Bakım alanındaki Secure Süreci kapsamında, tüm ürün ve hizmetler, Güvenlik Olayı Müdahale Planı’na ve uygun olduğu durumlarda İş Sürekliliği Planı’na (BCP) uyulması da dahil olmak üzere, şirketin güvenlik politikalarına uygun olmalıdır. 

Bulut üretim ortamlarının işletimi Saha Güvenilirlik Mühendisliği (SRE) ekibinin sorumluluğundadır. Görevler Ayrılığı ilkesine uygun olarak, üretim ortamlarına erişimi olan SRE ekibi üyelerinin kaynak kodu ve derleme hattı dahil olmak üzere geliştirme ortamlarına erişimi yoktur. 

SRE ekibi, altyapıyı güvenlik yamaları ile sürekli olarak güncellemekte ve Ömrünü Tamamlamış Bileşen Yönetimi Politikası uyarınca satıcılar tarafından sağlanan veya ürün ekipleri tarafından teslim edilen Uzun Vadeli Destek (LTS) sürümleriyle uyumlu olacak şekilde yükseltmektedir. 

Güvenlik açıklarının yönetilmesinde rol ve sorumlulukları tanımlayan bir Ürün Güvenlik Açığı İfşa Politikasına bağlıyız. 

SRE ekibi, gerekirse güvenlik şampiyonlarının da katılımıyla ürünleri etkileyen güvenlik olaylarını önceliklendirir.  

Ürün Vulnerability Management Politikası etrafında inşa edilen bu politika, Ar-Ge iyileştirme sürecini de içererek genişletir:

  • Dış güvenlik açığı ve olay raporlaması, rapor edilen sorunların hızlı bir şekilde ele alınmasını sağlamak. 
  • Önem derecesine göre gerektiğinde tetiklenen dahili olay raporlaması. 
  • RCA, yinelenen sorunları belirlemek ve gelecekteki güvenlik açıklarını önlemek için herhangi bir büyük veya yinelenen güvenlik olayından sonra yapılmalıdır.
  • Güvenlik önlemlerini güçlendirmek amacıyla gerektiğinde uygulanan Secure güncellemeleri. 
  • İyileştirme tamamlandığında, koordineli bir güvenlik açığı ifşası yapılarak şeffaflık sağlanır.

Dış taraflarca bulunan güvenlik açığını bildirme. Bize ulaşın.

11. Secure Ortamı

Geliştirme, test ve üretim ortamları, yetkisiz erişimi önlemek için güvenli bir şekilde ayrılmıştır. Her ortam, katı sertleştirme temellerini ve uç nokta güvenlik protokollerini takip eder. Geliştirme Ortamları şirket güvenlik politikaları ile uyumlu olmalıdır.

Endpoint koruması

Uç nokta korumasının bir parçası olarak, OPSWAT 'ın sahip olduğu tüm cihazlar güvenlik açıkları, yüklü yazılımlar, yüklü yamalar ve şirket güvenlik politikalarına uygunluk açısından izlenir. Uyumsuzluk durumunda, kurumsal kaynaklara erişimi sınırlandırmak için kısıtlayıcı önlemler alınır. 

Yüksek risk kategorisinde sınıflandırılan kaynaklara yalnızca kontrollü erişim yolları (VPN) üzerinden erişilebilir. Şirket ağı dışındaki cihazların Ar-Ge kaynaklarına erişmek için güvenli kanallar kullanması zorunludur.

Boru hattı güvenliği

CI/CD boru hattı güvenliği, gelişen tehditleri azaltmak için katı güvenlik direktiflerine bağlıdır. Tehditlerin kaynağı eski altyapı unsurları (işletim sistemleri, analiz araçları vb.), zayıf ayrıcalık kontrolleri nedeniyle yetkisiz erişimler ve zayıf izole edilmiş ortamlar olabilir. CI/CD altyapısının güncel tutulması, kapsamlı bir şekilde incelenmesi ve sıkı bir şekilde kontrol edilmesi, güvenli SDLC'mizin temel taşıdır. 

Bölgesel olarak, kod depolama, CI/CD işlem hattı, analiz ve test araçları ve güvenli eser imzalama dahil olmak üzere tüm merkezi hizmetler için ABD merkezli sunucular kullanılır. Tüm merkezi araçların yapılandırılması Ar-Ge Operasyonlarının kontrolü altındadır. 

Güçlü kimlik doğrulama mekanizmaları (Multi-Factor Authentication - MFA) ve yetkilendirme kontrolleri (Role-Based Access Control - RBAC) uyguluyoruz. En az ayrıcalık ve düzenli erişim incelemeleri yapılmaktadır. 

Boru hatlarımız Statik Uygulama Güvenlik Testi (SAST), Software Bileşim Analizi (SCA), Dinamik Uygulama Güvenlik Testi (DAST), Gizli Tarama ve Kötü Amaçlı Software Taraması dahil olmak üzere çeşitli analiz ve test otomasyon araçlarını içermektedir. 

Güvenli kod imzalama çözümümüzde, anahtar malzemeyi yetkisiz erişime karşı korumak ve imzayı oluşturmak için Hardware Güvenlik Modülleri (HSM'ler) kullanıyoruz. İmzalama çözümü CI/CD altyapısının bir parçasıdır, ancak ağ segmentasyonu mevcuttur. HSM'lere yalnızca Ar-Ge Operasyonları kısa süreliğine erişme yetkisine sahiptir. Her imzalama eylemi günlüğe kaydedilir ve bir denetim izi sırasında incelenebilir. 

Yazılımın derlenmesi, derleme veya test edilmesi için kullanılan araç seti, menşe bilgisine sahip olmalı ve doğrulanmış bir kaynaktan gelmelidir. CI/CD boru hattında kullanılan araçların sayısı sınırlıdır; yalnızca gerekli araçlar yüklenir. Boru hattındaki derleme ve oluşturma adımlarında yalnızca LTS yazılımlarının kullanılmasına izin verilir. Merkezi hizmetlerin işletiminde, düzenli bakım ve anahtar değiştirme dönemleri belirlenir. Kurum içinde geliştirilen araçlar, Secure Süreci kapsamında değerlendirilir.

Tüm merkezi hizmetler için ortam sertleştirmesi süreklidir ve bu güvenlik gereksinimleri periyodik olarak gözden geçirilir. Hazırlıklı olmalarını ve geliştirme süreçlerini buna göre uyarlayabilmelerini sağlamak için sertleştirme yönergeleri ürün ekiplerine iletilir. Bir güvenlik olayı durumunda, önleyici tedbirler almak ve bu gereksinimleri güncellemek için bir RCA gerçekleştirilir.

Kod Koruması

Kaynak kodunun korunması, şirket içindeki kaynak kodunun gizliliğini ve bütünlüğünü garanti altına almak için yazılım geliştirmenin çok önemli bir parçasıdır. 

Kaynak kodu en az ayrıcalık ilkesine göre saklanır ve yalnızca yetkili personel ve araçların erişimine izin verilir. Kaynak kodu sürüm kontrolü altındadır. Sürüm kontrol yönetim sistemi, kod değişikliklerinin izlenebilirliğini ve hesap verebilirliğini garanti eder. Kaynak kod depoları FIPS 140-3 uyumlu kriptografi ile şifrelenir ve uygun bir anahtar uzunluğu ile korunur.

Satıcı Değerlendirmesi

Satıcı İşe Alım Sürecimizin bir parçası olarak, satıcılar bir Yaptırım kontrolüne tabi tutulur. Satıcılar ve tedarikçilerle yaptığımız sözleşmelerin bir parçası olarak, sözleşme süresi boyunca, geçerli olduğunda EAR (İhracat İdaresi Düzenlemeleri) kapsamında yeterli ihracat lisanslarını sürdürmek de dahil olmak üzere, mevzuata uygunluğu sürdürmekle yükümlüdürler. Satıcı değerlendirme süreci değerlendirme kontrol listelerini, güvenlik ve gizlilik incelemelerini ve üçüncü taraf denetimlerinin ve sertifikalarının gözden geçirilmesini içerebilir. Kritik tedarikçiler en az yılda bir kez gözden geçirilir ve değerlendirilir. Beklentilerimize uymayan her türlü durum takip edilir ve bu gibi durumlarda bir risk değerlendirmesi yapılır.

12. Kapanış

Secure ’nin Kurum İçi Uygulaması

Bu politikaya uyulması tüm dahili ekipler için zorunludur. Bu belge şirket politikalarına tabidir, yani herhangi bir çelişki olması durumunda şirket politikaları önceliklidir ve bunlara uyulmalıdır. 

Secure ihlallerine ilişkin eskalasyon süreci: Bu politikaya yönelik her türlü ihlal, Ar-Ge Operasyonları biriminden başlayarak ve gerektiğinde Ürün Direktörü’ne (CPO) kadar eskalasyon yoluyla kurum içinde ele alınır.

Tedarikçiler için Secure Gereklilikleri

ISO 27001, SOC2 ve NIST SSDF kapsamındaki ürünler için bileşen veya hizmet sağlayan tedarikçilerin, Secure Çerçevesi’nde aşağıda belirtilen gerekliliklere uymaları beklenmektedir. Uyumluluk, periyodik güvenlik denetimlerine, üçüncü taraf değerlendirmelerine ve imzalanan sözleşmeler kapsamında her bir tarafın yükümlülüklerine tabidir. 

Tüm tedarikçilerin, Yayın Bütünlüğü bölümünde tanımlandığı gibi, destekleyici belgelerle birlikte kaynak ve bütünlük bilgilerini sağlamaları gerekmektedir. 

Ürün bileşeni ve kütüphane sağlayıcıları, Secure Ortamı” bölümünde açıklanan uygulamalarımıza uygun geliştirme ortamları oluşturmalıdır. Ayrıca, “Uygulama Güvenliği Testi ve Doğrulama” bölümünde açıklanan şekilde bileşenlerine ve kütüphanelerine güvenlik testleri uygulamalıdırlar. 

Boru hattı bileşenleri tedarikçileri de Secure Ortamı” bölümünde açıklanan uygulamalarımıza uygun geliştirme ortamları oluşturmalıdır. Ayrıca, geliştirme süreçleri OPSWAT Secure Süreci ile uyumlu olmalıdır. 

Hizmet sağlayıcıların, OPSWAThizmetleriyle karşılaştırılabilir bir güvenlik düzeyi sunan, ABD merkezli ortamları kullanmaları beklenmektedir. Secure , OPSWATbeklentilerini yansıtan hem bir Secure Programı hem de bir Secure Süreci içermelidir.

Secure ’nin Müşterilere Sağladığı Avantajlar

OPSWAT Secure Çerçevesi, yasal gereklilikler ve sektördeki en iyi uygulamalarla tam uyumludur ve güvenli, güvenilir ve şeffaf bir geliştirme süreci sağlar. 

Kritik Altyapı Koruması alanında lider bir şirket olarak OPSWAT , müşterilerimize aşağıdaki avantajları sunmak amacıyla Secure ve uygulama güvenliği alanlarında en yüksek olgunluk düzeyine ulaşmaya OPSWAT :

  • İstismarı ve güvenlik açıklarını en aza indirecek daha güvenli yazılım ürünleri   
  • Güvenlik ihlalleri ve itibar kaybıyla ilişkili riskin azaltılması  
  • Müşteri kurumsal güvenlik politikalarının uyumluluğunun ele alınmasına yardımcı olun

İletişim Bilgileri

OPSWAT Secure Çerçevesi hakkında daha fazla bilgi için bizimle iletişime geçin.

OPSWAT ile Güncel Kalın!

En son şirket güncellemelerini almak için bugün kaydolun, hikayeler, etkinlik bilgileri ve daha fazlası.