安全與信任中心

我們致力於幫助客戶獲得信心的工作負載在磚上運行。beplay体育app下载地址如果你的團隊想要運行測試筆對磚,我們建議您:

• 運行中的漏洞掃描數據平麵係統位於你的雲服務提供商賬戶。
• 對您自己的代碼運行測試,這些測試是完全包含在數據提供平麵(或其他係統)位於你的雲服務提供者賬戶和評估自己的控製。
• 參與bug賞金計劃。

加入磚Bug的賞金項目促進通過HackerOne和獲得一個部署使用的磚,不是住客戶。beplay体育app下载地址

我們需要多因素身份驗證訪問核心基礎設施雲服務提供商等遊戲機控製台(AWS, GCP和Azure)。磚的政策和程序,以避免使用顯式憑據,如密碼或API密鑰,隻要有可能。例如,隻有任命安全成員可以處理異常請求新的AWS我校長或政策。

磚的員工可以訪問在非常特殊的情況下生產係統。任何訪問需要認證通過Databricks-built係統來驗證訪問和執行政策的檢查。訪問要求員工在我們的VPN和我們的單點登錄解決方案需要多因素身份驗證。
了解更多→

我們的內部安全標準盡可能實現職責分離。例如,我們集中我們的雲提供商的身份驗證和授權過程分離授權訪問(瑪麗應該訪問係統)授予訪問(瑪麗現在可以訪問係統)。

我們優先考慮最小特權訪問,為我們的訪問內部係統和生產係統。最小特權是顯式地構建到我們的內部政策和反映在我們的程序。例如,大多數客戶可以控製磚員工訪問他beplay体育app下载地址們的工作區,和我們自動應用眾多檢查之前訪問可以自動授予和撤銷訪問之後有限的時間。
了解更多→

磚利用一個思想門戶跟蹤特性請求並允許投票為客戶和員工。beplay体育app下载地址我們的功能設計過程包括隱私和安全設計。一個初步評估後,高影響力的特性受到安全從安全專家在工程設計審查,以及其他威脅建模和安全特定的檢查。

我們使用一個敏捷開發方法和新功能分解成多個sprint。磚不外包磚的發展平台,和所有開發人員都必須經過安全軟件開發培訓,包括雇傭和之後每年OWASP前十名。Beplay体育安卓版本從開發生產數據和環境分離,QA和舉辦環境。所有的代碼簽入到源代碼控製係統,需要單點登錄的多因素身份驗證,與細粒度的權限。代碼合並需要功能性工程業主批準的每個區域的影響,和所有的代碼都是同行評議。

我們運行質量檢查(如單元測試和端到端測試)在SDLC過程的多個階段,包括在合並代碼,代碼合並後,在發布和生產。我們的測試包括積極測試,回歸測試和負麵測試。一旦部署,我們有廣泛的監控識別故障,用戶可以對係統可用性通過警報狀態頁。在發生任何P0或P1問題,磚自動化觸發“5個為什麼”的根本原因分析方法,選擇後期團隊成員監督審查,並追蹤跟進。

我們使用最好的工具來識別脆弱的包或代碼。自動化在預生產環境中運行驗證主機和容器操作係統的漏洞掃描和安裝的軟件包,以及動態和靜態代碼分析掃描。工程票自動創建任何漏洞和分配給相關團隊。產品安全小組還分類關鍵漏洞評估其嚴重性的磚結構。

磚有正式的發布管理過程,包括正式發布前可行或不可行的決策代碼。變化經過測試旨在避免回歸和驗證新功能測試在現實的工作負載。此外,有策劃推出監測識別問題在早期階段。實現職責分離,隻有我們的部署管理係統可以發布更改生產,和多人審批所需的所有部署。

我們遵循不變的基礎設施模型,係統取代而不是修補,提高可靠性和安全性,避免的風險配置漂移。新係統圖像或啟動應用程序代碼時,我們與新工作負載轉移到新實例的代碼。這是真的對控製平麵和數據平麵(的更多信息,請參見安全特性”部分的磚結構)。一旦在生產代碼,驗證流程確認工件不添加,刪除或更改。

SDLC過程的最後階段是創建麵向客戶的文檔。磚文檔管理類似於代碼,文檔存儲在相同的源代碼控製係統。重大變化需要的技術審查和審查文檔團隊才能被合並和發表。
訪問文檔→