سياسة اختبار الأمان

نظرة عامة

Credenti بالحفاظ على أعلى معايير الأمن السيبراني والمصادقة بدون كلمات مرور والتحكم في الوصول وفق نموذج "الصفر ثقة". تعمل منصتنا على تأمين وصول المستخدمين على مستوى تسجيل الدخول إلى نظام التشغيل، ومستوى التطبيقات، ومستوى البنية التحتية للهوية.

نحن ندعم إجراء اختبارات الأمان واختبارات الاختراق بطريقة مسؤولة وخاضعة للرقابة والترخيص. تحدد سياسة اختبارات الأمان هذه النطاق المسموح به، والأنشطة المحظورة، ومتطلبات الحوكمة الخاصة باختبار Credenti وخدمات Credenti .

هام: تنطبق هذه السياسة بشكل خاص على العملاء والأطراف الثالثة المصرح لها التي تجري اختبارات أمنية على Credenti وخدمات Credenti . ولا تصف هذه السياسة ممارسات Credentiالأمنية الداخلية ولا تضع لها أي قيود. Credenti برنامجًا أمنيًا شاملاً ومتعدد المستويات يشمل مجموعة واسعة من منهجيات الاختبار والتحقق، مثل ممارسات التطوير الآمن، والتحليل الثابت والديناميكي، واختبارات الاختراق الداخلية والتي تجريها أطراف ثالثة، والمراقبة الأمنية المستمرة — وهي أمور تتجاوز نطاق هذه السياسة.

نطاق التغطية

تنطبق هذه السياسة على جميع Credenti وخدمات Credenti ، بما في ذلك:

  • منصات المصادقة بدون كلمة مرور
  • حلول آمنة لتسجيل الدخول إلى محطات العمل والأجهزة
  • خدمات إدارة الهوية والوصول (IAM)
  • ملحقات المتصفح ووكلاء نقاط النهاية
  • مكونات المصادقة وتسجيل الدخول في أنظمة التشغيل، بما في ذلك مزودي بيانات الاعتماد في Windows، وحزم المصادقة، وعمليات تكامل تسجيل الدخول في macOS، ووحدات PAM في Linux، وغيرها من آليات ما قبل تسجيل الدخول أو فتح قفل محطات العمل
  • واجهات برمجة التطبيقات (API) وخدمات الخلفية والبنية التحتية للمصادقة
  • أحمال العمل المعبأة في حاويات، وصور الأجهزة الافتراضية، وعناصر النشر
  • عمليات النشر المحلية، والسحابية، والمختلطة، والمعزولة

اختبارات الأمان المسموح بها

Credenti إجراء اختبارات أمنية خاضعة للرقابة وغير تدخلية من نوع "الصندوق الأسود"، والتي تقيّم سلوك النظام دون الوصول إلى التفاصيل الداخلية للتنفيذ أو المنطق الخاص به.

الأنشطة المسموح بها

  • اختبار اختراق الصندوق الأسود
  • اختبار أمن الشبكات والمحيط الخارجي
  • اختبار واجهة برمجة التطبيقات (API) باستخدام واجهات موثقة
  • التحقق من صحة مسار المصادقة والتفويض
  • التحقق من صحة التكوين والسياسات
  • الفحص غير المتلف للثغرات الأمنية

تتوافق هذه الأساليب مع مبادئ التحقق الحديثة القائمة على نهج "الثقة الصفرية"، حيث يتم اختبار الأنظمة من الخارج دون الكشف عن التصميم الداخلي أو إضعاف آليات ضمان الهوية.

منهجيات الاختبار والقيود

Credenti نُهج اختبار الأمان التي تتماشى مع نموذج "الثقة الصفرية"، حيث يتم تقييم الأنظمة من الخارج دون الكشف عن تفاصيل التنفيذ الداخلية.

المنهجية المسموح بها

  • اختبار الصندوق الأسود: اختبار يتم إجراؤه دون الوصول إلى شفرة المصدر أو الملفات الثنائية أو التصميم الداخلي للنظام

المنهجيات المقيدة

  • اختبار الصندوق الأبيض: اختبار يتطلب الوصول إلى شفرة المصدر أو البنية الداخلية أو تفاصيل التنفيذ
  • اختبار الصندوق الرمادي: اختبار يعتمد على معرفة جزئية بآليات النظام الداخلية أو واجهات برمجة التطبيقات أو التصميم
  • اختبار أمان التطبيقات الثابت (SAST): تحليل على مستوى الكود، بما في ذلك مراجعة الكود المصدري، أو فك التجميع الثنائي، أو الهندسة العكسية

تتضمن هذه المنهجيات المقيدة بطبيعتها الوصول إلى المنطق الخاص بالشركة أو آليات المصادقة أو عمليات تكامل تسجيل الدخول إلى نظام التشغيل، أو تحليلها؛ ولذلك لا يُسمح بها دون الحصول على إذن كتابي صريح من Credenti.

الأنشطة المحظورة

لحماية بنية المصادقة بدون كلمة مرور Credenti، وعمليات تكامل تسجيل الدخول مع أنظمة التشغيل، وآليات الأمان الخاصة بها، يُحظر تمامًا القيام بالأنشطة التالية.

الهندسة العكسية وتحليل الكود

  • إلغاء ترجمة أي مكون من مكونات البرنامج أو تفكيكه أو فك تشفيره أو إجراء هندسة عكسية عليه
  • استخراج أو تحليل الملفات الثنائية أو الملفات القابلة للتنفيذ أو ملحقات المتصفح
  • فحص صور الحاويات أو صور الأجهزة الافتراضية أو عناصر النشر
  • تصحيح الأخطاء، أو التجهيز بالأدوات، أو فحص الذاكرة
  • تفكيك أو فحص أو تحليل مكونات المصادقة وتسجيل الدخول في أنظمة التشغيل، بما في ذلك مزودي بيانات الاعتماد في Windows، وحزم المصادقة، وعمليات تكامل تسجيل الدخول في macOS، ووحدات PAM في Linux، وآليات المصادقة ذات الصلة

التحليل القائم على الذكاء الاصطناعي والمعالجة الخارجية

  • تحميل البرامج أو الملفات الثنائية أو النواتج أو المخرجات إلى منصات الذكاء الاصطناعي (AI) أو التعلم الآلي
  • إرسال Credenti إلى أدوات تحليل الكود أو بيئات SaaS الخارجية
  • استخدام خدمات جهات خارجية تتطلب تحميل ملفات ثنائية أو أكواد برمجية أو عناصر مملوكة بشكل خارجي

استكشاف البنية الداخلية

  • محاولة استخلاص أو إعادة بناء شفرة المصدر
  • محاولة استنباط بنية النظام أو ضوابط الأمان أو منطق المصادقة
  • محاولة اكتشاف آليات معالجة بيانات الاعتماد أو سير العمل الخاص بالشركة

الاختبارات التخريبية أو الضارة

  • هجمات رفض الخدمة (DoS أو DDoS)
  • محاولات سرقة البيانات
  • تصعيد الصلاحيات غير المصرح به
  • تجاوز النطاق المصرح به
  • التدخل في أنظمة الإنتاج أو وصول المستخدمين

المشاركة غير المصرح بها أو وصول أطراف ثالثة

  • مشاركة البرامج أو الموارد أو صلاحيات الوصول مع أطراف ثالثة غير معتمدة
  • استخدام أدوات أو منصات تتطلب تحميل شفرات برمجية أو ملفات ثنائية من مصادر خارجية
  • السماح لموردين أو مختبرين غير معتمدين بالوصول إلى Credenti

متطلبات الحصول على ترخيص الاختبار

يجب أن تحصل جميع اختبارات الأمان على إذن صريح وكتابي من Credenti تنفيذها.

المتطلبات

  • نطاق محدد، وأنظمة، وجداول زمنية
  • تحديد الجهة المسؤولة عن الاختبار، سواء كانت داخلية أو خارجية
  • الكشف عن الأدوات والمنهجيات التي سيتم استخدامها
  • تحديد البيئات المستهدفة
  • الموافقة على الالتزام باتفاقيةترخيص المستخدم النهائي (EULA) Credenti وسياسة اختبار الأمان هذه

يُحظر تمامًا إجراء الاختبارات دون إذن.

ضوابط الاختبار من قبل جهات خارجية

في حالة إجراء الاختبار من قبل جهة خارجية:

  • يجب أن تحصل الجهة الخارجية على موافقة Credenti
  • يجب أن يلتزم الطرف الثالث بالتزامات السرية وعدم الإفشاء
  • يجب على الطرف الثالث الالتزام التامباتفاقية ترخيص المستخدم النهائي Credenti وبسياسة اختبار الأمان هذه

يظل العميل مسؤولاً مسؤولية كاملة عن جميع الإجراءات التي يقوم بها المختبرون من الأطراف الثالثة.

معالجة البيانات والسرية

تُعتبر جميع نتائج الاختبارات، بما في ذلك السجلات والنتائج والمواد المرتبطة بها، معلومات سرية.

المتطلبات

  • لا يجوز الإفصاح عن المعلومات للجمهور دون موافقة خطية مسبقة
  • لا يتم التحميل إلى منصات خارجية أو تابعة لأطراف ثالثة
  • لا فائدة منها في التحليل التنافسي أو تطوير المنتجات
  • تخزين آمن ووصول خاضع للرقابة في جميع الأوقات

الإفصاح عن الثغرات الأمنية

Credenti الإبلاغ المسؤول عن الثغرات الأمنية.

الإبلاغ عن الثغرات الأمنية

البريد الإلكتروني: credenti

يرجى تضمين:

  • وصف تفصيلي للمشكلة
  • خطوات إعادة إنتاج المشكلة
  • تقييم الأثر
  • الأدلة الداعمة، مثل السجلات أو لقطات الشاشة أو سجلات التتبع

الملاذ الآمن

لن Credenti إجراءات قانونية ضد الباحثين في مجال الأمن الذين:

  • التصرف بحسن نية
  • الالتزام بهذه السياسة
  • تجنب الاستغلال بما يتجاوز الحد الضروري للتحقق
  • لا تنتهك القوانين المعمول بها أو تعرض بيانات المستخدم للخطر

التوافق بين نهج "الثقة الصفرية" والأمن بدون كلمات مرور

تستند منصة Credentiإلى:

  • المصادقة بدون كلمة مرور وبدون أسرار مشتركة
  • التحقق من الهوية المقاوم للتصيد الاحتيالي
  • التحكم في الوصول استنادًا إلى الجهاز والسياق

يجب أن تراعي اختبارات الأمان هذه الضوابط، ويجب ألا تحاول تجاوز آليات ضمان الهوية أو إضعافها خارج نطاق السيناريوهات المعتمدة.

التنفيذ

قد تؤدي مخالفة هذه السياسة إلى:

  • التعليق الفوري للوصول
  • إنهاء الاتفاقيات
  • الإجراءات القانونية بموجب القانون المعمول به
  • التنفيذ في إطار حماية حقوق الملكية الفكرية والتزامات السرية