सॉफ़्टवेयर सामग्री बिल (एसबीओएम) के लिए न्यूनतम आवश्यक तत्व

इस युग में सुरक्षित सॉफ़्टवेयर उत्पाद या एप्लिकेशन बनाने के लिए आपके द्वारा बनाए जा रहे एप्लिकेशन के सटीक घटकों का पूरा ज्ञान आवश्यक है। आपके सॉफ़्टवेयर पैकेज को बनाने वाली निर्भरताएँ, लाइसेंस, फ़ाइलें और अन्य संपत्तियाँ भेद्यता के संभावित बिंदु हैं जिनके माध्यम से दुर्भावनापूर्ण अभिनेता आपके सॉफ़्टवेयर और आपूर्ति श्रृंखला के अन्य अनुप्रयोगों पर हमला शुरू कर सकते हैं।

की आवृत्ति और प्रभाव में हाल की वृद्धि से निपटने के प्रयासों के हिस्से के रूप में सॉफ़्टवेयर आपूर्ति श्रृंखलाओं पर हमलेएनटीआईए के साथ समन्वय में संघीय सरकार ने एक कार्यकारी आदेश जारी किया जिसमें साइबर सुरक्षा में सुधार और सॉफ्टवेयर पैकेजों में उपयोग किए जाने वाले तीसरे पक्ष के घटकों की अखंडता की गारंटी के लिए विभिन्न उपायों का विवरण दिया गया। ऐसा ही एक उपाय है सामग्री का सॉफ्टवेयर बिल. 

यह एक औपचारिक दस्तावेज़ है जिसमें सॉफ़्टवेयर पैकेज के सभी घटक और इन घटकों के बीच आपूर्ति श्रृंखला संबंध शामिल हैं। सामग्री का एक व्यापक सॉफ़्टवेयर बिल तैयार करना केवल मानक अभ्यास नहीं है, बल्कि यह कानून द्वारा भी आवश्यक है। यह पोस्ट सॉफ़्टवेयर सामग्री बिल के दायरे को परिभाषित करती है न्यूनतम तत्व इसे सामग्री के व्यापक बिल में शामिल किया जाना चाहिए।

एनटीआईए के एसबीओएम के न्यूनतम घटक क्या प्रदान करते हैं?

एसबीओएम उन कंपनियों के लिए एक औपचारिक मार्गदर्शक के रूप में कार्य करता है जो सॉफ़्टवेयर का निर्माण, खरीद या संचालन करती हैं, जो उन्हें सॉफ़्टवेयर आपूर्ति श्रृंखला की समझ बढ़ाने के लिए आवश्यक सभी जानकारी प्रदान करती है। यह उभरती हुई कमजोरियों को आसानी से ट्रैक करने में भी मदद करता है, यदि वे घटित होती हैं, और सॉफ़्टवेयर आपूर्ति श्रृंखला जोखिमों को कम करें. हालाँकि, एसबीओएम के लिए संघीय सरकार की निर्धारित आवश्यकताओं को पूरा करने के लिए, इसमें कुछ बुनियादी तत्व शामिल होने चाहिए। इन तत्वों को अक्सर तीन श्रेणियों में वर्गीकृत किया जाता है:

  •  डेटा फ़ील्ड: एक एसबीओएम से सॉफ़्टवेयर घटकों के बारे में महत्वपूर्ण डेटा प्रदान करने की अपेक्षा की जाती है जैसे कि घटक का नाम, आपूर्तिकर्ता का नाम, सॉफ़्टवेयर संस्करण और अन्य विशिष्ट पहचानकर्ता। इसमें निर्भरताओं के बीच संबंधों का भी विवरण होना चाहिए। यह डेटा सभी सॉफ़्टवेयर घटकों की सटीक पहचान करना और उन्हें सॉफ़्टवेयर आपूर्ति श्रृंखला में ट्रैक करना संभव बनाता है।
  • स्वचालन समर्थन: सामग्री का सॉफ्टवेयर बिल मशीन-पठनीय होना चाहिए और स्वचालित रूप से तैयार होने में भी सक्षम होना चाहिए। यह एसबीओएम में शामिल डेटा की निरंतर ट्रैकिंग की अनुमति देता है। आमतौर पर, ये दस्तावेज़ SPDX, CycloneDX और SWID टैग जैसे मानक प्रारूपों में होते हैं और यह उन्हें मानव पठनीय भी बनाता है।
  • प्रथाएँ और प्रक्रियाएँ: एसबीओएम दस्तावेज़ीकरण से एसबीओएम को तैयार करने और अद्यतन करने के लिए मानक प्रथाओं और प्रक्रियाओं का विवरण देने की भी उम्मीद है। इसमें एसबीओएम को वितरित करने और उस तक पहुंचने की प्रथाओं के साथ-साथ आकस्मिक त्रुटियों से निपटने के उपाय भी शामिल होने चाहिए।

एनटीआईए के एसबीओएम दस्तावेज़ीकरण के न्यूनतम आवश्यक तत्व आपके सॉफ़्टवेयर सामग्री बिल के बुनियादी उपयोग के मामलों जैसे कमजोरियों का प्रबंधन, सॉफ़्टवेयर घटकों की सूची लेना और सॉफ़्टवेयर लाइसेंस प्रबंधित करने के लिए एसबीओएम दिशानिर्देश में क्या अपेक्षित है, इसका स्पष्ट मानदंड प्रदान करते हैं। फ्रेमवर्क को अद्यतन किया जा रहा है और इसमें अतिरिक्त तत्व शामिल हो सकते हैं जो निकट भविष्य में इसकी उपयोगिता बढ़ाएंगे। इस पृष्ठ के अगले अनुभागों में, हम आपके सॉफ़्टवेयर सामग्री बिल के इन प्रमुख घटकों को अधिक विस्तार से समझाएंगे। सामग्री के सॉफ़्टवेयर बिल के न्यूनतम आवश्यक तत्वों में नीचे निर्दिष्ट अनुसार सात डेटा फ़ील्ड शामिल हैं।

डेटा फ़ील्ड: न्यूनतम आवश्यकताएँ

सॉफ़्टवेयर सामग्री बिल का उद्देश्य ऐसी जानकारी प्रदान करना है जो उपयोगकर्ताओं और अन्य हितधारकों को सॉफ़्टवेयर घटकों को आसानी से पहचानने में मदद करती है। अपेक्षित रूप से, एसबीओएम के पहले और सबसे महत्वपूर्ण तत्वों में से एक वह डेटा है जिसे दस्तावेज़ में विस्तृत प्रत्येक घटक के लिए शामिल किया जाना चाहिए। व्यक्तिगत घटकों की पहचान में सहायता के अलावा, डेटा सॉफ़्टवेयर आपूर्ति श्रृंखला में उपयोग किए जाने वाले विभिन्न स्थानों पर घटकों को ट्रैक करना भी आसान बनाता है।

  • आपूर्तिकर्ता का नाम: आपूर्तिकर्ता प्रश्न में सॉफ़्टवेयर घटक का प्रवर्तक या निर्माता है। यह उस व्यक्ति या संगठन का नाम है जो सॉफ़्टवेयर घटकों को बनाता है, परिभाषित करता है और पहचानता है।
  • घटक का नाम: यह मूल आपूर्तिकर्ता या निर्माता द्वारा परिभाषित सॉफ़्टवेयर को निर्दिष्ट निर्दिष्ट नाम को संदर्भित करता है। ऐसे मामलों में जहां सॉफ़्टवेयर के लिए कई नाम और उपनाम हैं, उन्हें भी नोट किया जा सकता है।
  • घटक संस्करण: एसबीओएम में आपूर्तिकर्ता या निर्माता द्वारा निर्दिष्ट रिलीज नंबर या श्रेणी संख्या शामिल होनी चाहिए। संस्करण डेटा एक पहचानकर्ता के रूप में कार्य करता है जो सॉफ़्टवेयर के बाद के रिलीज़ के पहले से पहचाने गए संस्करण से सॉफ़्टवेयर में किसी भी बदलाव को निर्दिष्ट करता है।
  • अन्य विशिष्ट पहचानकर्ता: यह घटक नाम और संस्करण के अलावा अतिरिक्त पहचानकर्ताओं को संदर्भित करता है। ये अतिरिक्त पहचानकर्ता घटक के लिए पहचान की एक अतिरिक्त परत प्रदान करते हैं और प्रासंगिक डेटाबेस में घटक को खोजने के लिए लुकअप कुंजी के रूप में भी उपयोग किया जा सकता है।
  • निर्भरता संबंध: यह सॉफ्टवेयर सामग्री बिल के सबसे महत्वपूर्ण डेटा घटकों में से एक है, क्योंकि एसबीओएम का उद्देश्य यह बताना है कि सॉफ्टवेयर घटक एक साथ कैसे फिट होते हैं। निर्भरता संबंध आपके एप्लिकेशन में उपयोग किए गए सॉफ़्टवेयर X और उसके अपस्ट्रीम घटकों के बीच संबंध को निर्दिष्ट करता है।
  • SBOM डेटा के लेखक: यह उस व्यक्ति को संदर्भित करता है जिसने एसबीओएम डेटा बनाया है। कभी-कभी, सॉफ़्टवेयर आपूर्तिकर्ता लेखक के रूप में भी काम कर सकता है। हालाँकि, कई मामलों में, लेखक कोई अन्य व्यक्ति या समूह होता है।

सामग्री की सूची की एक छवि

स्वचालन समर्थन: न्यूनतम आवश्यकताएँ

सामग्री के सॉफ़्टवेयर बिल का उपयोग अक्सर संगठनात्मक सीमाओं को पार कर जाता है। इसका मतलब यह है कि एसबीओएम में मौजूद डेटा का उपयोग अक्सर एक संगठन के भीतर कई विभागों और कई संगठनों द्वारा भी किया जाता है। इस दस्तावेज़ के उपयोग में आसानी सुनिश्चित करने के लिए, एनटीआईए अनुशंसा करता है कि एसबीओएम ऐसे प्रारूप में होना चाहिए जो मशीन-पठनीय और मानव-पठनीय दोनों हो। इस तरह मानक स्वचालित प्रारूपों में एसबीओएम तैयार करने और प्रसारित करने से इस दस्तावेज़ की इसके विभिन्न इच्छित उद्देश्यों के लिए अंतरसंचालनीयता में सुधार होता है।

एनटीआईए एसबीओएम उत्पन्न करने और प्रसारित करने के लिए तीन वितरण प्रारूपों को मान्यता देता है। आपके सॉफ़्टवेयर सामग्री बिल को निर्धारित मानकों के अनुरूप होने के लिए इनमें से किसी भी प्रारूप से मेल खाना चाहिए सरकार का साइबर सुरक्षा कार्यकारी आदेश. इन मानक प्रारूपों में शामिल हैं:

  • सॉफ्टवेयर पैकेज डेटा एक्सचेंज (एसपीडीएक्स)
  • सॉफ़्टवेयर पहचान (SWID) टैग
  • साइक्लोनडीएक्स

सॉफ्टवेयर पैकेज डेटा एक्सचेंज (एसपीडीएक्स)

एसपीडीएक्स एसबीओएम डेटा वितरित करने के लिए एक खुला मानक है। यह सॉफ़्टवेयर के घटकों, उत्पत्ति, लाइसेंस और कॉपीराइट सहित उसके बारे में महत्वपूर्ण जानकारी एकत्र करता है। यह सुरक्षा संदर्भ भी प्रदान करता है। एसपीडीएक्स संस्करण 2.2 नवीनतम संस्करण है और यह YAML 1.2 फ़ाइल प्रकार, जावास्क्रिप्ट ऑब्जेक्ट नोटेशन और संसाधन विवरण फ्रेमवर्क (आरडीएफ/एक्सएमएल) का समर्थन करता है। टैग: फ्लैट टेक्स्ट फ़ाइल और .xls स्प्रेडशीट का मूल्य

सॉफ़्टवेयर पहचान (SWID) टैग

SWID टैग किसी भी सॉफ़्टवेयर उत्पाद के घटकों को पहचानने और प्रासंगिक बनाने में मदद करने के लिए डिज़ाइन किए गए हैं। सॉफ़्टवेयर पहचान टैग प्रोजेक्ट (SWID टैग) सॉफ़्टवेयर के एक टुकड़े के पहचान टैग बनाने और मान्य करने के लिए उपकरणों का एक सेट है। ये जावा-आधारित उपकरण ISO/IEC 19770-2:2015 और संक्षिप्त बाइनरी ऑब्जेक्ट रिप्रेजेंटेशन (CBOR) द्वारा परिभाषित मानकीकृत प्रारूप के आधार पर XML SWID टैग का समर्थन करते हैं। एनआईएसटी की एक वेबसाइट है इसके लिए उपयोगी संसाधनों की सूची के साथ:

  • SWID और CoSWID टैग का निर्माण
  • विशिष्ट स्कीमा आवश्यकताओं और सर्वोत्तम अभ्यास दिशानिर्देशों के आधार पर SWID और CoSWID टैग को मान्य करना
  • एक वेब ऐप जो SWID टैग सत्यापन सेवा प्रदान करता है जिसे जावा एप्लिकेशन सर्वर पर तैनात किया जा सकता है
  • राष्ट्रीय भेद्यता डेटाबेस पर टैग पोस्ट करने के लिए SWID रेपो क्लाइंट

साइक्लोनडीएक्स

साइक्लोनडीएक्स "हल्के सॉफ्टवेयर सामग्री बिल (एसबीओएम) मानक" होने का दावा करता है। यह आपूर्ति श्रृंखला घटक विश्लेषण और अनुप्रयोग सुरक्षा के लिए उपयोगी है। जो संगठन CycloneDX को अपनाते हैं, वे न्यूनतम SBOM आवश्यकताओं को निर्बाध रूप से पूरा कर सकते हैं और समय के साथ SBOM दस्तावेज़ के अधिक परिष्कृत उपयोग के मामलों में परिपक्व हो सकते हैं।

CycloneDX SBOM आमतौर पर XML, JSON, या प्रोटोकॉल बफ़र्स स्वरूपों में प्रस्तुत किए जाते हैं। विनिर्देश में अक्सर ये पाँच फ़ील्ड शामिल होते हैं:

  • सामग्री का बिल मेटाडेटा: इसमें एप्लिकेशन या सॉफ़्टवेयर उत्पाद के बारे में सामान्य जानकारी शामिल होती है।
  • घटक: यह एक व्यापक सूची है जो सॉफ़्टवेयर के सभी स्वामित्व और ओपन-सोर्स घटकों को कवर करती है।
  • सेवाओं की जानकारी: यह उन सभी बाहरी एपीआई का विवरण देता है जिन्हें एप्लिकेशन अपने संचालन के दौरान कॉल कर सकता है। इसमें सभी समापन बिंदु यूआरएल, प्रमाणीकरण आवश्यकताएं और ट्रस्ट सीमा ट्रैवर्सल शामिल हैं।
  • निर्भरताएँ: दस्तावेज़ सॉफ़्टवेयर पैकेज के भीतर सभी घटकों और सेवाओं का भी विवरण देता है। इसमें प्रत्यक्ष और सकर्मक दोनों संबंध शामिल हैं।
  • रचनाएँ: यह व्यक्तिगत घटकों, सेवाओं और निर्भरता संबंधों सहित सभी घटक भागों की पूर्णता को संदर्भित करता है। प्रत्येक रचना का वर्णन आमतौर पर इस संदर्भ में किया जाता है कि क्या वे पूर्ण हैं, अपूर्ण हैं, केवल प्रथम-पक्ष अपूर्ण हैं, केवल तृतीय-पक्ष अपूर्ण हैं, या पूरी तरह से अज्ञात हैं।

प्रथाएँ और प्रक्रियाएँ: न्यूनतम आवश्यकताएँ

आपके सॉफ़्टवेयर सामग्री बिल का अंतिम तत्व एसबीओएम के उपयोग की यांत्रिकी पर केंद्रित है। प्रथाएं और प्रक्रियाएं एसबीओएम के निर्माण और उपयोग के परिचालन विवरण को कवर करती हैं और इसे किसी भी नीति, या अनुबंध में शामिल किया जाना चाहिए जो इसका अनुरोध करता है। निम्नलिखित प्रमुख आवश्यकताएं हैं जिन्हें आपके सॉफ़्टवेयर सामग्री बिल के अभ्यास और प्रक्रिया अनुभाग में विस्तृत किया जाना चाहिए:

  • आवृत्ति: यह अनुभाग बताता है कि किसी संगठन को सामग्री के लिए कितनी बार नया सॉफ़्टवेयर बिल तैयार करना पड़ता है। आम तौर पर, एनटीआईए अनुशंसा करता है कि जब भी आपका सॉफ़्टवेयर घटक अपडेट किया जाता है या नया संस्करण जारी किया जाता है तो आप एक नया एसबीओएम उत्पन्न करते हैं। आपूर्तिकर्ताओं से यह भी अपेक्षा की जाती है कि जब भी उन्हें मूल संस्करण में कोई त्रुटि मिलती है या वे अपने सॉफ़्टवेयर के घटकों के बारे में नए विवरण सीखते हैं जो प्रारंभिक दस्तावेज़ में शामिल नहीं थे, तो वे नए एसबीओएम उत्पन्न करेंगे।
  • गहराई: आपके एसबीओएम की गहराई इस बात पर निर्भर करती है कि दस्तावेज़ में क्या शामिल है। अनुपालन के लिए, आपके एसबीओएम से सभी शीर्ष-स्तरीय घटकों और सभी परिवर्तनीय निर्भरताओं को शामिल करने की अपेक्षा की जाती है। ऐसी स्थितियों में जहां लेखक सभी सकर्मक निर्भरताओं को शामिल करने में असमर्थ है, दस्तावेज़ को उपभोक्ता को यह निर्देश देना चाहिए कि वे उन्हें कहाँ पा सकते हैं।
  • ऐसे उदाहरण हैं जहां एसबीओएम लेखक किसी न किसी कारण से पूर्ण निर्भरता ग्राफ प्रदान नहीं कर सकता है। ऐसा इसलिए हो सकता है क्योंकि घटक की कोई और निर्भरता नहीं है या वे नहीं जानते कि ये निर्भरताएँ मौजूद हैं या नहीं। एसबीओएम लेखक को यह कारण बताना आवश्यक है।
  • वितरण एवं डिलिवरी: इस आवश्यकता का लक्ष्य यह सुनिश्चित करना है कि एसबीओएम शीघ्रता से और आसानी से पचने योग्य प्रारूप में वितरित किए जाएं। हालाँकि यह आवश्यकता उन दिनों या सप्ताहों की संख्या निर्दिष्ट नहीं करती है जिनके द्वारा एसबीओएम वितरित किए जाने हैं, उन्हें जितनी जल्दी हो सके चालू किया जाना चाहिए। साथ ही, जब एसबीओएम को वितरित किया जाता है तो उसके पास उचित भूमिकाएं और पहुंच अनुमतियां निर्धारित होनी चाहिए। अंत में, आवश्यकता यह निर्धारित करती है कि एसबीओएम को या तो उत्पाद के प्रत्येक उदाहरण के साथ वितरित किया जा सकता है या किसी अन्य आसानी से सुलभ तरीके से उपलब्ध कराया जा सकता है जैसे कि सार्वजनिक वेबसाइट के माध्यम से।
  • पहुँच नियंत्रण: ऐसे मामलों में जहां आपूर्तिकर्ता एसबीओएम डेटा तक पहुंच को विशिष्ट उपयोगकर्ताओं या ग्राहकों तक सीमित करने का निर्णय लेता है, लेखक को एक्सेस नियंत्रण की शर्तों को निर्दिष्ट करना आवश्यक है। उन उपभोक्ताओं के लिए विशिष्ट भत्ते की पेशकश करने की भी आवश्यकता है जो एसबीओएम डेटा को अपने स्वयं के सुरक्षा उपकरणों में एकीकृत करना चाहते हैं।
  • गलतियों का समायोजन: एसबीओएम सॉफ्टवेयर आश्वासन को बेहतर बनाने में मदद कर सकता है सॉफ्टवेयर आपूर्ति श्रृंखला जोखिम प्रबंधन. हालाँकि, यह अभी भी पूर्णता से बहुत दूर है। इस प्रकार, उपभोक्ताओं को एसबीओएम तैयार करने में होने वाली कभी-कभार होने वाली अनजाने त्रुटियों या चूक के प्रति सहनशील होने की आवश्यकता है। 

एनटीआईए की न्यूनतम आवश्यकताओं से परे सोचना

अब तक, हमने आपके सॉफ़्टवेयर सामग्री बिल में आवश्यक न्यूनतम तत्वों पर चर्चा की है। ये न्यूनतम तत्व अनुशंसित आवश्यकताओं का प्रतिनिधित्व करते हैं, विशेष रूप से इस दस्तावेज़ के सबसे बुनियादी उपयोग के मामलों के लिए। हालाँकि वे सॉफ़्टवेयर उद्गम और सुरक्षा के लिए एक अच्छी नींव रखते हैं, लेकिन किसी को इन आवश्यकताओं से परे भी देखना चाहिए। अधिक उन्नत एसबीओएम उपयोग मामलों पर विचार करने के लिए निम्नलिखित कुछ सिफारिशें हैं।

अतिरिक्त डेटा फ़ील्ड

न्यूनतम आवश्यकताओं के दस्तावेज़ में शामिल डेटा फ़ील्ड के अलावा, अतिरिक्त डेटा फ़ील्ड भी हैं जिनकी अनुशंसा उन मामलों के लिए की जाती है जहां उच्च स्तर की सुरक्षा आवश्यक है। इनमें से कुछ अतिरिक्त डेटा फ़ील्ड में शामिल हैं:

  • सॉफ़्टवेयर घटकों का एक क्रिप्टोग्राफ़िक हैश
  • सॉफ़्टवेयर जीवनचक्र चरण डेटा
  • अन्य घटकों के बीच संबंध
  • लाइसेंस जानकारी

क्लाउड-आधारित सॉफ़्टवेयर और सॉफ़्टवेयर-ए-ए-सर्विस

एक अन्य संभावित क्षेत्र जहां एसबीओएम आवश्यकताएं बुनियादी बातों से आगे बढ़ सकती हैं, वह है सॉफ्टवेयर-ए-ए-सर्विस (सास) उत्पादों का प्रबंधन। जहां तक ​​एसबीओएम डेटा का सवाल है, इस प्रकार के सॉफ्टवेयर उत्पादों में अनूठी चुनौतियां हैं। आरंभ करने के लिए, क्लाउड संदर्भ में सुरक्षा जोखिम अद्वितीय हैं। साथ ही, उन जोखिमों से निपटने की जिम्मेदारी सेवा प्रदाता की होती है। क्लाउड-आधारित सॉफ़्टवेयर के लिए एसबीओएम दस्तावेज़ तैयार करना भी अधिक जटिल है क्योंकि उनका रिलीज़ चक्र छोटा होता है।

एसबीओएम सत्यनिष्ठा और प्रामाणिकता

एक और संभावित मुद्दा जो ध्यान देने योग्य है वह है एसबीओएम डेटा के स्रोत को प्रमाणित करने की प्रक्रिया। वर्तमान में, हस्ताक्षर और सार्वजनिक कुंजी अवसंरचना आज की डिजिटल दुनिया में सॉफ़्टवेयर की अखंडता को सत्यापित करने के लिए प्रमुख समाधान हैं। एसबीओएम के लेखकों और आपूर्तिकर्ताओं को एसबीओएम डेटा की विश्वसनीयता में सुधार के लिए इन मौजूदा सॉफ्टवेयर हस्ताक्षरों का लाभ उठाने की आवश्यकता हो सकती है।

निर्भरता में भेद्यता और शोषणशीलता

यद्यपि एसबीओएम का उद्देश्य कमजोरियों का पता लगाना आसान बनाना है, यह ध्यान रखना महत्वपूर्ण है कि निर्भरता में सभी कमजोरियां उन सॉफ़्टवेयर के लिए प्रमुख जोखिम नहीं बनती हैं जो उन पर निर्भर हैं। समय और संसाधनों की बर्बादी से बचने के लिए, सॉफ़्टवेयर आपूर्तिकर्ताओं को डाउनस्ट्रीम का उपयोग करने वाले सॉफ़्टवेयर पर निर्भरता भेद्यता के संभावित प्रभावों को निर्धारित करने और एसबीओएम के उपयोगकर्ताओं को जोखिम स्तर (या इस मामले में इसकी कमी) के बारे में सूचित करने के लिए उपाय करने की आवश्यकता होगी। डेटा डाउनस्ट्रीम.

कार्यान्वयन में लचीलापन बनाम एकरूपता

जब भी सॉफ़्टवेयर सुरक्षा पर चर्चा की जाती है, लचीलेपन और एकरूपता का प्रश्न हमेशा सामने आता है। यह एसबीओएम के उन्नत उपयोग के मामलों पर भी लागू होता है। एसबीओएम को सफलतापूर्वक लागू करने के लिए व्यापक नीतियों की आवश्यकता होगी जो सभी क्षेत्रों के साथ-साथ विशिष्ट मामलों पर भी लागू हों जहां लचीलापन आवश्यक होगा।