क्वाड पार्टनर प्रतिकूल और गैर-प्रतिकूल खतरों द्वारा सॉफ्टवेयर आपूर्ति श्रृंखला के साथ छेड़छाड़ को रोकने के लिए पर्याप्त नियंत्रण की कमी से उत्पन्न सुरक्षा जोखिमों को पहचानते हैं। क्वाड की आवाज का लाभ उठाकर, हम एक ऐसी संस्कृति को बढ़ावा दे सकते हैं और मजबूत कर सकते हैं जहां सॉफ्टवेयर सुरक्षा डिजाइन और डिफ़ॉल्ट रूप से हो। हम अन्य देशों को सुरक्षित सॉफ़्टवेयर के लिए इस साझा विज़न की खोज में इन सिद्धांतों को अपनाने के लिए प्रोत्साहित करते हैं।
क्वाड सीनियर साइबर ग्रुप सरकारों के विकास, खरीद और सॉफ्टवेयर के उपयोग को निर्देशित करने के लिए न्यूनतम साइबर सुरक्षा दिशानिर्देश स्थापित करके सामूहिक रूप से सॉफ्टवेयर सुरक्षा में सुधार करने की हमारी प्रतिबद्धता की पुष्टि करता है। इन दिशानिर्देशों को लागू करने के लिए, जहां आवश्यक हो, प्रत्येक क्वाड देश अंतरराष्ट्रीय दायित्वों, घरेलू कानूनों, विनियमों और राष्ट्रीय साइबरस्पेस की परिपक्वता के अनुरूप नीतिगत ढांचे का निर्माण करना चाहता है। क्वाड पार्टनर कठोर और पूर्वानुमेय तंत्र को लागू करने के लिए प्रतिबद्ध हैं ताकि यह सुनिश्चित किया जा सके कि सॉफ्टवेयर उत्पाद सुरक्षित रूप से और इच्छित रूप से कार्य करें और इन प्रथाओं को बढ़ावा देने के लिए सॉफ्टवेयर उद्योग के साथ जुड़ेंगे। संपूर्ण सॉफ़्टवेयर लाइफसाइकिल में सुरक्षित सॉफ़्टवेयर प्रथाओं को एकीकृत करने से हमारा लक्ष्य, सॉफ्टवेयर कमजोरियों की संख्या और संभावित प्रभाव को काफी कम करना है।
क्वाड निम्नलिखित उच्च-स्तरीय सुरक्षित सॉफ़्टवेयर विकास प्रथाओं को आगे बढ़ाने और मौजूदा सरकारी नीति में उन्हें अपनाने, इन प्रथाओं को पूरा करने वाले सॉफ़्टवेयर का अधिग्रहण करने और सॉफ़्टवेयर विकसितकर्ता/आपूर्तिकर्ताओं को उन्हें लागू करने के लिए प्रोत्साहित करने का इरादा रखता है:
1. संगठन तैयार करना: सुनिश्चित करें कि लोगों को पर्याप्त रूप से प्रशिक्षित किया गया है, प्रक्रियाओं को परिभाषित किया गया है, और सुरक्षित सॉफ़्टवेयर विकास करने के लिए प्रौद्योगिकी समाधान मौजूद हैं।
2. सॉफ्टवेयर और सॉफ्टवेयर विकास पर्यावरण की रक्षा करना: सॉफ्टवेयर के सभी घटकों को छेड़छाड़ और अनधिकृत पहुंच से बचाने के लिए उचित नियंत्रण सुनिश्चित करना, प्रत्येक सॉफ़्टवेयर रिलीज को संग्रहीत करें और सुरक्षित रखें, और प्रत्येक रिलीज़ में उपयोग किए जाने वाले विभिन्न घटकों का विवरण (जैसे, सामग्री का सॉफ्टवेयर बिल) और आपूर्ति श्रृंखला संबंधों के पर्याप्त रिकॉर्ड बनाए रखें।
3. अच्छी तरह से सुरक्षित सॉफ्टवेयर का उत्पादन करना: इसके रिलीज में न्यूनतम सुरक्षा भेद्यता के साथ अच्छी तरह से सुरक्षित और परीक्षण किए गए सॉफ्टवेयर का उत्पादन करना।
4. कमजोरियों पर प्रतिक्रिया: सॉफ्टवेयर रिलीज में कमजोरियों की पहचान करना और उन कमजोरियों को लगातार दूर करने के लिए उचित प्रतिक्रिया दें और भविष्य में इसी तरह की घटनाओं को होने से रोकना।
क्वाड का प्रत्येक सदस्य सॉफ्टवेयर या सॉफ्टवेयर युक्त उत्पाद की सरकारी खरीद के लिए निम्नलिखित न्यूनतम दिशानिर्देशों का पालन करना चाहता है। अंतरराष्ट्रीय दायित्वों, घरेलू कानूनों, नियमों और संबंधित साइबर स्पेस की परिपक्वता के अनुरूप, प्रत्येक क्वाड देश निम्नलिखित प्रथाओं को प्रोत्साहित करके घरेलू स्तर पर दिशानिर्देशों के कार्यान्वयन को आगे बढ़ाने का इरादा रखता है:
1. सॉफ़्टवेयर निर्माता द्वारा स्व-सत्यापन की आवश्यकता होती है, जब तक कि कोई तृतीय-पक्ष प्रमाणीकरण प्रदान नहीं किया जाता है, जिसमें कहा गया हो कि सॉफ़्टवेयर का विकास सुरक्षित सॉफ़्टवेयर विकास प्रथाओं का अनुपालन करता है।
2. सॉफ़्टवेयर डेवलपर को एक संबंधित राष्ट्रीय आलोचनीयता प्रकटीकरण कार्यक्रम की रिपोर्ट करने के लिए प्रोत्साहित करें जिसमें एक रिपोर्टिंग और प्रकटीकरण प्रक्रिया शामिल हो।
क्वाड सरकारी सॉफ्टवेयर उपयोग के लिए निम्नलिखित सुरक्षा उपायों को आगे बढ़ाने का इरादा रखता है:
1. सॉफ़्टवेयर और सॉफ़्टवेयर प्लेटफ़ॉर्म को अनधिकृत पहुँच और उपयोग से बचाने के लिए पर्याप्त नियंत्रण और प्रक्रियाएँ सुनिश्चित करना।
2. सॉफ़्टवेयर और सॉफ़्टवेयर प्लेटफ़ॉर्म द्वारा उपयोग किए जाने वाले डेटा की गोपनीयता, अखंडता और उपलब्धता की सुरक्षा के लिए पर्याप्त नियंत्रण और प्रक्रियाएं सुनिश्चित करना।
3. सॉफ़्टवेयर को दुरुपयोग से बचाने के लिए सॉफ़्टवेयर प्लेटफ़ॉर्म और उन प्लेटफ़ॉर्म पर तैनात सॉफ़्टवेयर की पहचान करना और उनका रखरखाव करना।
4. सॉफ़्टवेयर और सॉफ़्टवेयर प्लेटफ़ॉर्म से संबंधित घटनाओं का तुरंत पता लगाना, उनका जवाब देना और उनसे उबरना।
5. सॉफ़्टवेयर और सॉफ़्टवेयर प्लेटफ़ॉर्म की सुरक्षा को बढ़ावा देने वाले मानवीय कार्यों की समझ और प्रदर्शन को मजबूत करना।