انتخاب سند
سیاست امنیتی PhotoRobot SDLC
این سند سیاست امنیتی PhotoRobot SDLC را تعریف می کند. این گزارش الزامات امنیتی اعمال شده در طول چرخه توسعه نرم افزار در PhotoRobot را شرح می دهد و از رعایت تعهدات قراردادی ما تحت DPA و SLA پشتیبانی می کند.
اصول
- امین-بای دیزاین
- دسترسی کمترین امتیاز به کد و زیرساخت
- بازبینی اجباری کد
- مدیریت وابستگی و آسیب پذیری
جریان کاری توسعه
- تمام کدهای ذخیره شده در کنترل نسخه
- تغییرات بازبینی شده از طریق درخواست های pull
- خطوط لوله CI آزمایش های خودکار را اجرا می کنند
مدیریت وابستگی
- اسکن آسیب پذیری منظم
- کتابخانه های قدیمی به صورت پیشگیرانه ارتقا یافته اند
- فقط منابع بسته مورد اعتماد مجاز هستند
ساخت و استقرار
- استقرارها از طریق خطوط لوله CI/CD کنترل شده
- مکانیزم های بازگشت به عقب موجود
- لاگ های حسابرسی نگهداری شده برای استقرارها
مدیریت اسرار
- اسرار ذخیره شده به صورت امن (مدیر مخفی گوگل)
- هیچ راز کدگذاری شده ای در مخازن وجود ندارد
- چرخش اجباری برای کلیدهای حساس
آزمایش ها
- آزمون واحد، یکپارچه سازی و رگرسیون
- آزمون های امنیتی در صورت لزوم گنجانده شده اند
مدیریت انتشار
- ثبت تغییرات حفظ شده است
- نسخه های منتشر شده
- راه اندازی های کنترل شده برای به روزرسانی های عمده