SECURITY_RU
Documentation from P8OS
Source: docs/RU/SECURITY_RU.md
Политика безопасности
P8OS — Открытая когнитивная инфраструктура для автономных систем
Назначение
Безопасность является одним из фундаментальных принципов проектирования P8OS.
Как инфраструктура для автономных интеллектуальных систем, P8OS создаётся с ориентацией на безопасную, прозрачную и проверяемую архитектуру с самых ранних этапов разработки.
Безопасность рассматривается как часть архитектуры, а не как дополнительная возможность.
Поддерживаемые версии
В настоящее время P8OS находится на стадии исследований и создания прототипов.
На данном этапе:
- исправления безопасности вносятся в основную ветку разработки;
- экспериментальные ветки могут содержать незавершённые реализации;
- поддержка ранних прототипов не гарантируется.
После выхода первой стабильной версии будет опубликована официальная политика поддержки.
Сообщение об уязвимостях
Если вы обнаружили потенциальную уязвимость безопасности, пожалуйста, не публикуйте её сразу в открытом доступе.
Рекомендуемый порядок действий:
- Подготовьте техническое описание проблемы.
- По возможности укажите шаги для воспроизведения.
- Опишите возможные последствия.
- Свяжитесь с сопровождающими проекта через закрытый канал для сообщений о безопасности.
Ответственное раскрытие информации позволяет подготовить исправление до публичного объявления.
Область рассмотрения
Мы рассматриваем сообщения, связанные, в частности, со следующими проблемами:
- ошибки безопасности памяти;
- повышение привилегий;
- несанкционированный доступ к данным;
- ошибки аутентификации и авторизации;
- небезопасное поведение среды выполнения;
- уязвимости зависимостей;
- атаки типа «отказ в обслуживании»;
- риски цепочки поставок программного обеспечения.
Основные принципы безопасности
Безопасность на этапе проектирования
Вопросы безопасности должны учитываться при проектировании архитектуры, а не после завершения разработки.
Минимально необходимые привилегии
Каждый компонент должен обладать только теми правами, которые необходимы для выполнения его функций.
Многоуровневая защита
Предпочтение отдаётся нескольким независимым уровням защиты вместо единственного механизма безопасности.
Явные интерфейсы
Взаимодействие компонентов должно осуществляться через документированные и хорошо определённые интерфейсы.
Платформенная независимость
Безопасность архитектуры не должна зависеть от конкретной операционной системы, программного фреймворка или поставщика технологий.
Прозрачность
Архитектурные решения, связанные с безопасностью, по возможности должны быть документированы.
Ответственное раскрытие информации
Мы приветствуем ответственное взаимодействие с исследователями безопасности.
Проект стремится:
- подтверждать получение сообщений;
- анализировать выявленные проблемы;
- информировать о ходе рассмотрения;
- указывать авторов обнаруженных уязвимостей после согласованного раскрытия информации.
Сторонние компоненты
P8OS стремится минимизировать зависимость от внешних программных компонентов.
При использовании сторонних решений проект придерживается следующих принципов:
- соблюдение лицензионных требований;
- контроль публикации обновлений безопасности;
- регулярный анализ зависимостей;
- постепенная замена критически важных компонентов собственными реализациями при наличии технической возможности.
Экспериментальные возможности
Исследовательские прототипы могут содержать экспериментальные функции.
Такие функции не следует считать готовыми к промышленному использованию, если это прямо не указано в документации.
Дальнейшее развитие безопасности
В планах проекта:
- защищённая архитектура Runtime;
- механизмы защиты памяти;
- доверенные интерфейсы выполнения;
- безопасная модель плагинов;
- криптографическая идентификация;
- журналирование событий безопасности;
- воспроизводимые сборки;
- проверка цепочки поставок программного обеспечения.
Подробности реализации будут публиковаться по мере развития проекта.
Наши обязательства
Безопасность — это непрерывный инженерный процесс.
Сообщество P8OS стремится последовательно повышать безопасность, надёжность и доверие к проекту посредством открытой разработки и ответственного сотрудничества.
Команда безопасности P8OS