Güvenlik incelemesi

OpenStack topluluğunda güvenlik incelemesinin amacı, OpenStack projelerinin tasarımında veya uygulamasındaki zayıflıkları tespit etmektir. Nadiren de olsa, bu zayıflıklar bir OpenStack dağıtımının güvenliğinde felaket yaratacak etkilere sahip olabilir ve bu nedenle yayınlanan projelerdeki bu kusurların olasılığını en aza indirgemek için çalışmalar yapılmalıdır. OpenStack Güvenlik Projesi, bir projenin güvenlik incelemesinin tamamlanmasının ardından aşağıdakilerin bilinir ve belgelendirildiğini iddia eder:

  • Tüm sisteme giriş noktaları

  • Hangi varlıkların risk altında olduğu

  • Verinin nerede kalıcı olarak saklandığı

  • Verinin sistemin bileşenleri arasında nasıl dolaştığı

  • Veri biçimi ve dönüşümler

  • Projenin dış bağımlılıkları

  • Birlikte anlaşılan bulgu ve/veya kusur seti

  • Proje dış bağımlılıklar ile nasıl etkileşim kurar?

Bir OpenStack projesi üzerinde güvenlik incelemesi yapmak için ortak bir neden, o projenin vulnerability: managed yönetişim etiketi elde etmesini sağlamaktır. OpenStack Güvenlik Açığı Yönetimi Ekibi (VMT), vulnerability: managed etiketi raporların alınması ve güvenlik açıklarının bildiriminin VMT tarafından yapıldığı projelere uygulanır. Etiket kazanma gereksinimlerinden biri, proje üzerinde bazı güvenlik incelemesi, denetim veya tehdit analizi uygulanmış olmasıdır.

OpenStack Güvenlik Projesi (OSSP), OpenStack ölçeğinde bir proje için en iyi uygulama dağıtımının mimari bir incelemesinin, güvenlik incelemesinin uygun bir biçimi olduğuna ve bir ölçekli projenin kaynak gereksinimleriyle gözden geçirme gereksinimini dengelemesi konusunda VMT ile birlikte çalışmıştır. Güvenlik mimarisi incelemesine genellikle tehdit analizi, güvenlik analizi veya tehdit modelleme denir. OpenStack güvenlik incelemesi bağlamında, bu terimler, bir proje veya referans mimarisi tasarımındaki kusurları belirleyebilecek ve uygulamanın parçalarını doğrulamak için daha fazla araştırma çalışmalarına yol açabilecek mimari bir güvenlik incelemesi için eşanlamlıdır.

Bir OpenStack projesinin bir güvenlik incelemesi tamamlayabileceği iki yol vardır:

  1. OpenStack Güvenlik Projesi tarafından İncelenmek

  2. OpenStack Güvenlik Projesi’nden doğrulama ile üçüncü parti inceleme organı tarafından incelenmesi

OSSP tarafından yapılan güvenlik incelemesinin, yeni projelerin ve üçüncü şahısların güvenlik incelemeleri yapmadığı veya sonuçlarını paylaşamadığı durumlarda normal yol olması beklenmektedir. OSSP tarafından bir güvenlik incelemesi gerektiren projeler için bilgi gelecek güvenlik inceleme sürecinde kullanıma açılacaktır.

Bir güvenlik incelemesinin üçüncü bir taraf tarafından daha önce yapıldığı veya bir projenin incelemesini yapmak için üçüncü bir tarafı tercih etmesi durumunda, söz konusu üçüncü taraf incelemesinin çıktısını alma ve doğrulama için OSSP’ye sunma hakkında bilgi yaklaşmakta olan üçüncü parti güvenlik inceleme sürecinde kullanıma sunulacaktır.

Her iki durumda da, belgelendirme için şartlar benzerdir - proje, en iyi uygulama yerleştirmesi için bir mimari diyagram sağlamalıdır. Güvenlik açığı taraması ve statik analiz taramaları üçüncü şahısların incelemesine yeterli delil değildir, ancak tüm takımlar için geliştirme döngüsünün bir parçası olarak şiddetle tavsiye edilir.