SSDLC के लिए उपाय (सुरक्षित सॉफ्टवेयर विकास जीवन चक्र)

measures ssdlc

सुरक्षित एसडीएलसी या एसएसडीएलसी के लिए लागू करने के लिए विभिन्न सुरक्षा उपायों के बारे में जानें:

जैसे-जैसे तकनीक तेजी से बढ़ रही है, सिक्योरिटी से जुड़े डेटा के हैक होने और चोरी होने के खतरे भी उसी हिसाब से बढ़ गए हैं। इसलिए, इसमें कोई संदेह नहीं है कि प्रौद्योगिकी विकास सॉफ्टवेयर निर्माताओं के लिए चुनौतियों को फेंक रहा है ताकि यह सुनिश्चित किया जा सके कि उनका सॉफ्टवेयर सुरक्षा खतरों और कमजोरियों के खिलाफ मजबूत और मजबूत है।

एक सॉफ़्टवेयर उत्पाद जारी नहीं किया जा सकता है, भले ही यह पूरी तरह से इच्छित कार्यक्षमता के लिए कार्य करता है जब तक कि यह अत्यधिक सुरक्षित साबित न हो और निर्दिष्ट और विनियमित सुरक्षा और गोपनीयता मानकों को पूरा करता हो, विशेष रूप से रक्षा, वित्त और स्वास्थ्य देखभाल जैसे क्षेत्रों में जो व्यक्तिगत और वित्तीय डेटा को शामिल करता है। ।

जब वह तैनात होता है, तो उत्पाद में सुरक्षा दोष नहीं होता है, यह उच्च या मध्यम गंभीरता हो सकती है। इसलिए सॉफ्टवेयर और डेटा को किसी भी तरह के हमले, दुर्भावनापूर्ण खतरों, कमजोरियों से बचाना और सॉफ्टवेयर की विश्वसनीयता को सुनिश्चित करना बहुत आवश्यक है।

हमारे पारंपरिक सॉफ्टवेयर विकास के खिलाफ के रूप में, पूरे सॉफ्टवेयर विकसित होने के बाद अंतिम चरण में परीक्षण अधिक प्रभावी नहीं है। चंचल, DevOps और ShiftLeft अवधारणा के कार्यान्वयन के साथ, आवेदन जीवन चक्र के प्रत्येक चरण के साथ-साथ जल्दी से जल्दी परीक्षण करना आवश्यक है।

यह कहते हुए कि, सॉफ़्टवेयर की सुरक्षा को अंतिम चरण में निर्मित या परीक्षण नहीं किया जा सकता है और इस प्रकार सॉफ्टवेयर की कुल सुरक्षा सुनिश्चित करने के लिए इसे हर चरण में बनाया जाना चाहिए।

आप क्या सीखेंगे:

• SSDLC के लिए सुरक्षा उपाय
  • (1) आवश्यकताएँ चरण
  • # 2) योजना चरण
  • # 3) वास्तुकला और डिजाइन चरण
  • # 4) विकास का चरण
  • # 5) कार्यान्वयन चरण
  • # 6) परीक्षण - पूर्व तैनाती चरण
• SSDLC के लिए सारणीबद्ध सारांश
• निष्कर्ष
  • अनुशंसित पाठ

SSDLC के लिए सुरक्षा उपाय

नीचे सूचीबद्ध सुरक्षा-संबंधित उपायों के विभिन्न साधन हैं जिन्हें सुरक्षित एसडीएलसी या एसएसडीएलसी सुनिश्चित करने के लिए सॉफ्टवेयर विकास जीवन चक्र में लागू किया जा सकता है और जितना संभव हो, दोषों को अगले चरण तक ले जाने की अनुमति नहीं है।

विभिन्न सुरक्षा विश्लेषण और आकलन जिस पर SDLC चरणों में सुरक्षा की आवश्यकता होती है।

1. आवश्यकताएँ चरण
2. योजना चरण
3. वास्तुकला और डिजाइन चरण: डिजाइन के आधार पर सुरक्षा जोखिम मूल्यांकन।
4. विकास का चरण: सुरक्षित कोड विश्लेषण, सुरक्षा के लिए कोड का स्थैतिक विश्लेषण।
5. कार्यान्वयन चरण: डायनामिक कोड एनालिसिस, एक एप्लीकेशन सिक्योरिटी टेस्टिंग।
6. परीक्षण - पूर्व तैनाती चरण: प्रवेश परीक्षण और भेद्यता विश्लेषण।

(1) आवश्यकताएँ चरण

• मुख्य रूप से, यह सुनिश्चित करने के लिए कि सॉफ्टवेयर में आवश्यक सुरक्षा उपाय बनाए गए हैं, सुरक्षा-संबंधी विशिष्ट आवश्यकताएँ पर्याप्त विवरण और अपेक्षित परिणामों के साथ आवश्यकताओं के चरण के दौरान स्पष्ट रूप से कब्जा करने की आवश्यकता है।
• विशिष्ट उपयोग के मामलों और व्यावसायिक परिदृश्यों की पहचान करते समय, का एक स्पष्ट सेट सुरक्षा से संबंधित उपयोग मामले और परिदृश्य सुरक्षा सुविधाओं को पकड़ने और सुरक्षा परीक्षण परिदृश्यों को डिज़ाइन करने के लिए सत्यापन उद्देश्यों की पहचान करने की आवश्यकता है।

नीचे दिए गए कुछ नमूने उदाहरण हैं जो स्पष्ट सुरक्षा-संबंधित आवश्यकताओं को चित्रित करते हैं जिन्हें कैप्चर किया जा सकता है।

सेक-रेक -01: सिस्टम को सभी गेटवे और प्रवेश बिंदुओं पर प्रमाणीकरण उपायों की आवश्यकता है।

सेक-रीक -02: सिस्टम को एक सुरक्षित लॉगिन स्क्रीन के माध्यम से प्रमाणीकरण को लागू करना आवश्यक है।

सेक-रेक -03: व्यक्तिगत डेटा को आराम से एन्क्रिप्ट किया जाएगा।

# 2) योजना चरण

एक उच्च स्तर पर, लेकिन सिर्फ इन तक सीमित नहीं है, नियोजन चरण में निम्नलिखित बिंदुओं का ध्यान रखना आवश्यक है।

एंड्रॉइड पर एक एपीके फ़ाइल कैसे खोलें

• एक मजबूत, समर्पित सुरक्षा दल कार्यक्रम टीम के पीएमओ (परियोजना प्रबंधन कार्यालय) के बाहर कार्य करना, जिसमें शामिल है सुरक्षा अधिकारी, सुरक्षा आर्किटेक्ट, सुरक्षा परीक्षक निष्पक्ष तरीके से कार्यक्रम की सभी सुरक्षा-संबंधी गतिविधियों को करने और प्रबंधित करने के लिए गठित किया जाना है। इनमें से प्रत्येक भूमिका के लिए, एक स्पष्ट आरएनआर (भूमिकाएं और जिम्मेदारियां) और आरएसीआई परिभाषित हैं।
• कोई वृद्धि, अस्पष्टता सुरक्षा से संबंधित मुद्दों को पीएसओ (उत्पाद सुरक्षा अधिकारी) द्वारा नियंत्रित किया जाना चाहिए ताकि सुरक्षा टीम सुचारू रूप से कार्य करे और सही निर्णय लेने में मदद करे।
• एक मजबूत सुरक्षा परीक्षण रणनीति यह निर्दिष्ट करना कि सुरक्षा से संबंधित आवश्यकताओं को कैसे लागू किया जाए, कैसे, कब और क्या परीक्षण किया जाए, प्रत्येक चरण में कौन से उपकरण का उपयोग किया जाना चाहिए, पहचानने की आवश्यकता है।
• इसमें शामिल होना अनिवार्य है संपर्क का सुरक्षा बिंदु कार्यक्रम से संबंधित सभी तकनीकी / समीक्षा चर्चाओं के लिए ताकि सुरक्षा टीम को कार्यक्रम में होने वाले किसी भी बदलाव के बारे में पता हो।

# 3) वास्तुकला और डिजाइन चरण

डिज़ाइन चरण के दौरान सुरक्षा के शुरुआती पहलुओं पर अधिक ध्यान देने से सुरक्षा जोखिमों को रोकने और बाद में एसडीएलसी में डिज़ाइन परिवर्तनों में काफी प्रयासों को कम करने में मदद मिलेगी।

सॉफ्टवेयर डिजाइन करते समय, और उस बुनियादी ढांचे पर, जिस पर सॉफ्टवेयर को होस्ट किया जाएगा सुरक्षा डिजाइन कार्यान्वयन सुरक्षा वास्तुकारों की भागीदारी के साथ अच्छी तरह से डिजाइन किए जाने की आवश्यकता है।

कार्यात्मक और गैर-कार्यात्मक डिजाइन और आर्किटेक्चर पहलुओं के बीच किसी भी अस्पष्टता और संघर्ष को सही हितधारकों को शामिल करने वाले बुद्धिशीलता सत्रों के माध्यम से हल करने की आवश्यकता है।

इस चरण के दौरान, एक विस्तृत उत्पाद सुरक्षा जोखिम मूल्यांकन, जिसे कभी-कभी कहा भी जाता है ‘स्थैतिक मूल्यांकन’ विशेषज्ञों की सुरक्षा टीम द्वारा किए जाने की जरूरत है।

सुरक्षा जोखिम मूल्यांकन डिजाइन के दृष्टिकोण से सुरक्षा से संबंधित खामियों की पहचान करने और तदनुसार उत्पाद बढ़ाने के लिए प्रारंभिक डिजाइन / वास्तुकला चरण में एक सुरक्षा दृष्टिकोण से कार्यक्रमों की समीक्षा शामिल है। सुरक्षा जोखिम प्रोजेक्ट टीम को उन्हें संबोधित करने और अगले चरण में प्रवेश करने से बचें।

ये आकलन उन दस्तावेजों में उल्लिखित संगठनात्मक / औद्योगिक सुरक्षा दिशानिर्देशों, मानकों और नियंत्रणों के आधार पर किए जाते हैं। जैसे UXW 00320, UXW 030017

उत्पाद सुरक्षा जोखिम मूल्यांकन के दौरान:

• आवश्यकताएँ, सुविधाएँ, उपयोगकर्ता कहानियां, और उनके डिजाइन दस्तावेजों की समीक्षा की जाती है, परियोजना टीम द्वारा साझा किए गए विवरण, कलाकृतियों के आधार पर, जैसे डिज़ाइन दस्तावेज़ (HLDD और LLDD)। मूल्यांकन में दस्तावेजों की अनुपस्थिति के मामले में संबंधित परियोजना टीम के सदस्यों के साथ चर्चा करना या कोई संदेह होने पर स्पष्ट करना भी शामिल है।
• निर्धारित मानकों और अन्य सर्वोत्तम प्रथाओं के खिलाफ कार्यक्रम की सुरक्षा आवश्यकताओं की मैपिंग करते समय अंतराल की पहचान की जाती है। कभी-कभी खतरे वाले मॉडल भी पहचाने गए अंतराल के आधार पर विकसित किए जाते हैं।
• इन अंतरालों को संभावित सुरक्षा जोखिमों के रूप में पहचाना जाता है जिसमें कार्यान्वयन के लिए संभावित शमन भी शामिल हैं, जिन्हें उठाया और प्रबंधित किया जाता है।
• एक बार जब इन मितीकरणों को परियोजना टीम द्वारा लागू किया जाता है, तो उन्हें सिस्टम टेस्ट टीम द्वारा डिजाइन किए गए उपयुक्त परीक्षण मामलों के माध्यम से बंद होने के लिए सत्यापित किया जाता है।
• जोखिम प्रबंधन मैट्रिक्स, जो ट्रेसबिलिटी प्रदान करता है, इन जोखिमों को ट्रैक करने के लिए तैयार किया जाता है। अवशिष्ट जोखिम के साथ अनुमोदन और हस्ताक्षर बंद सुरक्षा वास्तुकार और पीएसओ द्वारा लिया जाएगा।

डिज़ाइन चरण में पहचाने जाने वाले विशिष्ट खतरे पैटर्न इनपुट सत्यापन, ऑडिट / लॉग प्रबंधन, कॉन्फ़िगरेशन और एन्क्रिप्ट से संबंधित हैं। जोखिम की पहचान में कमजोर पासवर्ड, सरल जानवर बल के हमले, आदि जैसी कमजोरियों पर हमला करना शामिल है।

विशिष्ट समीक्षाओं में व्यक्तिगत डेटा तक पहुंच से संबंधित जोखिम, ऑडिट ट्रेल्स एक्सेस, ब्लैकलिस्टिंग-वाइटेलिस्टिंग इकाइयां, डेटा सफाई, और हटाने की गतिविधि शामिल हैं।

नमूना परीक्षण परिदृश्य शामिल हैं:

• बफर अतिप्रवाह भेद्यता: यह सुनिश्चित करने के लिए कि मैन्युअल रूप से फ़ज़िंग पैरामीटर द्वारा, सर्वर को धीमा करना और सर्वर को जवाब देने के लिए मजबूर नहीं करना चाहिए (सेवा की अस्वीकृति)।
• डेटा स्वच्छता: यह सुनिश्चित करने के लिए कि प्रत्येक इनपुट और आउटपुट के लिए उचित डेटा सैनिटाइजेशन होता है ताकि हमलावर सिस्टम में दुर्भावनापूर्ण सामग्री को इंजेक्ट और संग्रहीत न कर सके।

# 4) विकास का चरण

सुरक्षित कोड विश्लेषण एक है स्थैतिक कोड मूल्यांकन वह विधि जिसका उपयोग आकलन करने के लिए किया जाता है सुरक्षित कोड स्वचालित स्कैनिंग उपकरण का उपयोग करके सॉफ्टवेयर की विभिन्न विशेषताओं के बारे में। उदाहरण: दृढ़ करना।

यह विश्लेषण सुरक्षा कोड के लिए उत्पन्न कोड को स्कैन करने के लिए हर कोड चेक-इन / बिल्ड पर किया जाता है। यह मूल्यांकन आम तौर पर उपयोगकर्ता स्टोरी स्तर पर किया जाता है।

• डेवलपर की मशीनों पर प्लग इन के माध्यम से फोर्टीफाइ स्कैन की आवश्यकता होती है।
• Fortify को बिल्ड टेम्पलेट के साथ एकीकृत करने की आवश्यकता है।
• दैनिक आधार पर सभी बिल्डिंग्स पर स्वचालित स्कैनिंग की जाएगी।
• झूठी सकारात्मकता के लिए सुरक्षा टीम द्वारा स्कैन परिणाम का विश्लेषण किया जाएगा।
• इस मूल्यांकन द्वारा पहचाने गए दोषों को उठाया और बंद करने में कामयाब रहे, ताकि सीपेज को कम से कम / अगले स्तर तक शून्य किया जा सके।

नमूना परीक्षण परिदृश्य शामिल हैं:

• यह सुनिश्चित करने के लिए कि डेटा ट्रांसमिशन के दौरान सादे पाठ में संवेदनशील डेटा नहीं भेजा जाता है।
• सुरक्षित डेटा ट्रांसमिशन सुनिश्चित करने के लिए, बाहरी-सामना करने वाले API को HTTPS चैनल पर तैनात किया जाना चाहिए।

# 5) कार्यान्वयन चरण

डायनामिक कोड विश्लेषण एप्लीकेशन सिक्योरिटी टेस्टिंग के अलावा कुछ नहीं है, जिसे OWASP (ओपन वेब एप्लीकेशन सिक्योरिटी प्रोजेक्ट) टेस्टिंग भी कहा जाता है। भेद्यता विश्लेषण और प्रवेश परीक्षण (VAPT) कार्यान्वयन / परीक्षण चरण में किए जाने की आवश्यकता है।

यह विश्लेषण बायनेरिज़ और कुछ पर्यावरण कॉन्फ़िगरेशन का आकलन करता है और सुरक्षा आवश्यकताओं के लिए कोड को और मजबूत करता है।

इस विश्लेषण के भाग के रूप में, गतिशील व्यवहार या सुरक्षा संबंधी कमजोरियों के लिए कार्यक्रमों की विभिन्न विशेषताओं की कार्यक्षमता का विश्लेषण किया जाता है। गतिशील कोड विश्लेषण करने के लिए निर्धारित उपयोग के मामले और व्यावसायिक परिदृश्य भी उपयोग किए जाते हैं।

इस गतिविधि पर किया जाता है टेस्ट बनाता है एक स्वचालित और मैनुअल दृष्टिकोण के साथ विभिन्न सुरक्षा उपकरणों का उपयोग करना।

• HP WebInspect, Burp Suite, ZAP और SOAP UI टूल का उपयोग आमतौर पर मानक भेद्यता डेटाबेस के खिलाफ भेद्यता की जांच करने के लिए किया जाता है ( उदाहरण: OWASP शीर्ष 10 )
• यह गतिविधि हालांकि मुख्य रूप से स्वचालित है, कुछ उपकरण प्रतिबंधों के कारण, झूठी सकारात्मक सकारात्मकता के लिए कुछ मैनुअल काम की आवश्यकता हो सकती है।
• यह आदर्श रूप से एक अलग वातावरण (सिस्टम टेस्टिंग एन्वायरमेंट) पर किया जाता है, जहां परीक्षण के लिए तैयार सॉफ्टवेयर को तैनात किया जाता है।
• सुझाए गए मितीगनों के साथ कमजोरियों को उठाने और बंद करने की आवश्यकता है।

इस विश्लेषण के दौरान पहचाने जाने वाले विशिष्ट खतरे के पैटर्न इनपुट सत्यापन, टूटे हुए प्रमाणीकरण और सत्र प्रबंधन, संवेदनशील डेटा प्रदर्शन, XSS और पासवर्ड प्रबंधन से संबंधित हैं।

नमूना परीक्षण परिदृश्य में शामिल हैं,

• पासवर्ड प्रबंधन: यह सुनिश्चित करने के लिए कि विन्यास फाइल या सिस्टम में कहीं भी पासवर्ड सादे पाठ में संग्रहीत नहीं हैं।
• सिस्टम सूचना लीक: यह सुनिश्चित करने के लिए कि सिस्टम की जानकारी किसी भी बिंदु पर लीक नहीं हुई है, प्रिंटस्टैकट्रेस द्वारा प्रकट की गई जानकारी आक्रमण की योजना से विरोधी की मदद कर सकती है।

# 6) परीक्षण - पूर्व तैनाती चरण

भेदन परीक्षण , पेन टेस्ट शॉर्ट और इंफ्रा VAPT (भेद्यता विश्लेषण और प्रवेश परीक्षण) , पूर्ण-विकसित समग्र परीक्षण है पूर्ण समाधान तथा विन्यास (नेटवर्क सहित) जो आदर्श रूप से एक पूर्व-ठेस या उत्पादन-जैसे वातावरण पर किया जाता है।

यह मुख्य रूप से DB Vulnerabilities और Server Vulnerabilities के साथ-साथ किसी भी अन्य Vulnerabilities की पहचान करने के लिए किया जाता है। यह सुरक्षा परीक्षण का अंतिम चरण है जो आयोजित किया जाएगा। इसलिए इसमें पहले से रिपोर्ट किए गए दोषों और जोखिमों का सत्यापन भी शामिल है।

• Nessus, Nmap, HP Web Inspect, Burp Suite, ZAP जैसे उपकरण जो बाजार में उपलब्ध हैं, का उपयोग पेन परीक्षण करने के लिए किया जाता है।
• इस परीक्षण के दौरान स्वचालित उपकरणों का उपयोग करके वेब अनुप्रयोगों की स्कैनिंग और आगे के सत्यापन के लिए शोषण किया जाता है। परीक्षण वास्तविक हमलावर के व्यवहार को अनुकरण करने के लिए किया जाता है और इसलिए इसमें कुछ नकारात्मक परीक्षण भी शामिल हो सकते हैं।
• इन्फ्रास्ट्रक्चर वल्नरेबिलिटी मूल्यांकन में कमजोरियों की पहचान करने और लक्षित हमलों के खिलाफ लचीलापन जांचने के लिए बुनियादी ढांचे (नेटवर्क, सिस्टम और सर्वर) की स्कैनिंग, विश्लेषण और सुरक्षा कॉन्फ़िगरेशन समीक्षा शामिल है।
• यह एक पूर्व-उत्पादन या उत्पादन-जैसे वातावरण पर किया जाता है, जहां सॉफ्टवेयर, जो तैयार करने के लिए तैयार है, परीक्षण किया जाता है और इसलिए वास्तविक समय के वातावरण का अनुकरण करता है।
• झूठी सकारात्मकता को खत्म करने के लिए स्कैनर और मैनुअल तकनीक दोनों का उपयोग करके कमजोरियों की पहचान की जाती है। इसके अलावा, मैन्युअल परीक्षण के दौरान वास्तविक समय के व्यापार परिदृश्यों को अंजाम दिया जाएगा।
• संपूर्ण सुरक्षा विश्लेषण पर एक अंतिम रिपोर्ट, जो पूरे कार्यक्रम के लिए की जाती है, यदि कोई है तो उच्च जोखिम वाली वस्तुओं की स्थिति पर प्रकाश डाला जाएगा।

नमूना परीक्षण परिदृश्य में शामिल हैं,

• असुरक्षित HTTP तरीकों को सक्षम करने के लिए सक्षम नहीं हैं।
• अन्य उपयोगकर्ताओं की संवेदनशील जानकारी सुनिश्चित करने के लिए नेटवर्क पर स्पष्ट पाठ में दिखाई नहीं देता है।
• दुर्भावनापूर्ण फ़ाइल के अपलोड से बचने के लिए फ़ाइल अपलोड के लिए सत्यापन सुनिश्चित करने के लिए लागू किया गया है।

SSDLC के लिए सारणीबद्ध सारांश

नीचे दी गई तालिका सुरक्षा विश्लेषण के विभिन्न पहलुओं को संक्षेप में बताती है जो ऊपर बताए गए हैं।

https www google को mp3

निष्कर्ष

इस प्रकार, एसडीएलसी के विभिन्न चरणों में एकीकृत इन सुरक्षा-संबंधी सभी पहलुओं के कार्यान्वयन से संगठन को चक्र में सुरक्षा दोषों की पहचान करने में मदद मिलती है और संगठन को उचित उपशमन को लागू करने में सक्षम बनाता है, जिससे परहेज होता है। उच्च जोखिम वाले सुरक्षा दोष लाइव सिस्टम में।

अध्ययन से यह भी पता चलता है कि विकास चरण के दौरान, यानी के दौरान अधिकांश सुरक्षा दोष सॉफ़्टवेयर में प्रेरित होते हैं कोडिंग चरण , जिसमें कोडिंग ने पर्याप्त सुरक्षा कारणों का ध्यान नहीं रखा है, जो भी कारण हैं।

आदर्श रूप से, कोई भी डेवलपर खराब कोड नहीं लिखना चाहेगा जो सुरक्षा से समझौता करता हो। इस प्रकार डेवलपर्स को सुरक्षित सॉफ़्टवेयर लिखने के तरीके पर मार्गदर्शन करने के लिए, आगामी ट्यूटोरियल कवर करता है सर्वश्रेष्ठ अभ्यास और कोडिंग दिशानिर्देश डेवलपर्स के लिए, सॉफ्टवेयर की बेहतर सुरक्षा सुनिश्चित करने के लिए।

हमें उम्मीद है कि सुरक्षित एसडीएलसी या एसएसडीएलसी पर यह ट्यूटोरियल मददगार था !!

अनुशंसित पाठ

• एसडीएलसी (सॉफ्टवेयर डेवलपमेंट लाइफ साइकिल) चरण, तरीके, प्रक्रिया और मॉडल
• 2021 में 10 सर्वश्रेष्ठ मोबाइल एपीपी सुरक्षा परीक्षण उपकरण
• 2021 में पेशेवरों द्वारा 19 शक्तिशाली पेनिट्रेशन टेस्टिंग टूल्स का उपयोग किया गया
• मोबाइल ऐप सुरक्षा परीक्षण दिशानिर्देश
• नेटवर्क सुरक्षा परीक्षण और सर्वश्रेष्ठ नेटवर्क सुरक्षा उपकरण
• सुरक्षा परीक्षण (एक पूर्ण गाइड)
• टॉप 4 ओपन सोर्स सिक्योरिटी टेस्टिंग टूल्स टू टेस्ट वेब एप्लीकेशन
• वेब अनुप्रयोग सुरक्षा परीक्षण गाइड