رهسو سیستم - راهنمای کامل دریافت گواهی امنیتی افتا نرم‌افزار — از انتخاب فریم‌ورک تا عبور از آزمایشگاه

راهنمای کامل دریافت گواهی امنیتی افتا نرم‌افزار — از انتخاب فریم‌ورک تا عبور از آزمایشگاه

blog-details
6
آبان
1404

راهنمای کامل دریافت گواهی امنیتی افتا نرم‌افزار — از انتخاب فریم‌ورک تا عبور از آزمایشگاه

آیا نرم‌افزار من توسط آزمایشگاه پذیرش می‌شود؟


در ابتدای کلام باید این مورد را بیان کنیم که در زمینه کسب گواهی امنیتی افتا نرم افزار، آزمایشگاه های مربوطه هیچ گونه محدودیتی برای پذیرش نرم افزار شما ندارند. تنها زمانی آزمایشگاه افتا از پذیرش نرم افزار شما خودداری میکند که فریممورک نرم افزار منسوخ شده باشد و شرکت و یا سازمان ارائه دهنده آن فریموورک، نسخه مد نظر را از ارائه به روز رسانی و یا پکیج های امنیتی محروم کرده باشد.
برای مثال فریموورک .NET Framework 4.8 گرچه بستری قدیمی محسوب میشود اما از آنجا که شرکت ارائه دهنده آن یعنی مایکروسافت همچنان برای این بستر به روز رسانی های امنیتی ارائه میدهد، کاملا مورد پذیرش تمامی آزمایشگاه های افتا خواهد بود.
بنابراین اگر فریموورک توسعه نرم افزار شما منسوخ نشده باشد هیچ محدودیتی در این زمینه برای کسب گواهی افتا نرم افزار نخواهید داشت.

سند هدف امنیتی نرم‌افزار چیست و چه نقشی در گواهی افتا دارد؟


پس از مبحث فریموورک الزام اصلی برای ورود به آزمایشگاه، ارائه تمامی نیازمندی های مد نظر افتا است که تمامی آن ها برگرفته از Common Criteria یا همان معیار های مشترک است که شامل مجموعه قوانین بین المللی امنیت نرم افزار است که تمامی این الزامات و نیازمندی ها در فایلی با عنوان سند هدف امنیتی نرم افزار از سوی آزمایشگاه به شما ارائه خواهد شد.

 

مشکلات رایج در پیاده‌سازی غیر استاندارد ویژگی‌های افتا


پس از آشنایی با معیار های مشترک و رسیدن به شناخت کافی از مسیر توسعه پیش رو زمان برنامه ریزی برای انجام توسعه ها و اقدام به توسعه است. طبق تجربه متخصصان رهسو سیستم، تیمی با دو توسعه دهنده نسبتا مجرب میتواند در  یک الی دو ماه تمامی این ویژگی ها را پیاده سازی کند.
نوع و روش پیاده سازی نیز از اهمیت بسیار زیادی برخوردار است. در مبحث کسب گواهی امنیتی افتا نرم افزار، صرفا وجود ویژگی های افتا در نرم افزار کافی نیست بلکه نحوه پیاده سازی این ویژگی ها نیز از اهمیت بسیار بالایی برخوردار است. از آنجایی که ویژگی های امنیتی مد نظر افتا گاهی با هسته سیستم شما همچون موجودیت های فعال (کاربران)، نقش ها، نشست ها، لاگ های بسیار گسترده و دقیق امنیتی، پایپ لاین های گسترده و حساس، مدیریت آپلود و دانلود فایل و موارد حساس بسیار دیگری سر و کار دارد، نحوه توسعه این ویژگی ها باید دقیق، حساب شده، بر پایه استاندارد های روز توسعه نرم افزار همچون رعایت اصول SOLID، KISS و به طور کلی دارای طرز فکر توسعه ماژولار باشد.
در صورت عدم پیاده سازی صحیح و استاندارد این ویژگی ها، تیم شما حتی در صورت رد کردن مراحل آزمایشگاه و تایید گواهی افتا، پس از مدتی ممکن است با مشکلات بسیاری در زمینه های Maintainability، Security، Scalability، Testability و Functionality نرم افزار مواجه شود که تمامی این موارد به معنای هزینه های بیشتر و بیشتر در طولانی مدت خواهد بود.

 

تاثیر شرایط غیرقابل پیش‌بینی بر زمان تایید گواهی

همچنین در زمان ورود به آزمایشگاه از پایداری تیم توسعه خود اطمینان حاصل نمایید تا با خیال راحت وارد فرایند آزمایشگاه شوید. موارد بسیاری مشاهده شده که شرکت ها بلافاصله پس از ورود به آزمایشگاه با خروج نیرو های فنی و توسعه خود مواجه شدند (برای مثال پس از جنگ 12 روزه شرکت های بسیاری دچار ریزش نیرو های فنی شدند) و چه چیزی بد تر از نبود تیم توسعه فنی درست در اوج فعالیت های توسعه امنیتی؟
اما گاهی عدم وجود نیرو فنی از داشتن نیرو فنی کم تجربه و کم توان بسیار بهتر است. در مواردی مشاهده شده که نیرو فنی تحت نظر مشاوران رهسو بسیار کم توان و کم تجربه بوده، سرعت توسعه بسیار پایینی داشته و پس از هر توسعه سیستم با وجود گوش زد های مکرر ما به باگ های امنیتی و عملکردی متفاوتی برخورد میکرده اند. کار تا جایی پیش رفته است که تیم مشاوره رهسو سیستم، نرم افزار متقاضی مشاوره را در اختیار گرفته و خود تیم رهسو دست به توسعه موارد امنیتی زده. طبیعتا کاری بسیار دشوار است. پیاده سازی ویژگی های امنیتی بر روی یک سیستم خام از لحاظ امنیتی بسیار ساده تر از سیستمی است که قبلا توسعه های امنیتی جسته و گریخته فراوان و بدون رعایت اصول برنامه نویسی انجام شده. حالا هر تکه کد مثل یک بمب عمل میکند!
در نهایت و پس از تمامی این موارد، از نظر ما بزرگ ترین چالش در زمان دریافت گواهی افتا، خود آزمایشگاه های افتا در ایران هستند. تعداد بسیار محدودی از آزمایشگاه ها در زمینه افتا در ایران فعال هستند، بنابراین شما در زمان عقد قرارداد، انتخاب های زیادی ندارید. همچون زمان خرید ماشین، در زمان دریافت گواهی افتا هم تنوع آزمایشگاه ها بسیار پایین است و همین امر موجب میشود تعداد مشتریان تمامی آن ها بسیار بالا باشد و در نتیجه زمان بررسی و تایید نرم افزار ها توسط آزمایشگاه ها نیز افزایش چشم گیری دارد. در چنین شرایطی وقوع اتفاقات غیرقابل پیش بینی همچون جنگ 12 روزه هم میتواند وضعیت را بسیار سخت تر کرده و زمان بررسی و تایید نرم افزار شما را به شدت زیاد کند.

 

نقش تیم مشاوره رهسو سیستم در تسریع فرایند اخذ گواهی


به طور کلی فاکتور ها و عوامل زیادی در رسیدن به گواهی افتا دخیل هستند که بسیاری از آنها قابل کنترل بوده و برخی غیرقابل کنترل. سعی ما در تیم مشاوره دریافت گواهی امنیتی افتا رهسو این است که تمامی موارد قابل کنترل را به بهترین و سریع ترین شکل کنترل کرده و در موارد مرتبط با آزمایشگاه نیز با پیگیری فرایند پیشرفت نرم افزار شما باعث شویم نه تنها به راحت ترین شکل ممکن بلکه در سریع ترین زمان نرم افزار شما به گواهی افتا برسد.
در صورت تمایل میتوانید صفحه خدمت مشاوره دریافت گواهی افتا رهسو را مشاهده کرده و برای دریافت مشاوره فنی و اداری این فرایند با ما تماس بگیرید.


رهسو سیستم

نظرات

پاسخ دهید

دسته بندی پست ها

جدید ترین اخبار

پر بازدید ترین اخبار

بالا