Maschinenlesbare Version der Richtlinien
Aktuell reproduzieren wir hier viel Markdown in Menschenlesbarer form. Verlinken dies mit Policies fuer maschinenlesbare form. Unsere Quelle ist ein PDF, welches aus Sharepoint-Elementen erzeugt wird. Aus dieser Ursprungsquelle werden wiederum weitere PDFs generiert (Whitepaper fuer Sw-Lieferanten ..)
Mir wuerde es in der Arbeit helfen, wenn die Daten maschinenlesbar und damit besser filterbar waeren. Bspw. in Yaml (nicht durchdacht nur fuer die Idee):
SYS1-6:
- Reference: "SYS-1.6-A8"
Name: Sichere Speicherung von Zugangsdaten bei Containern
Schutzbedarf: Basisschutz
Anforderungstext: |
"Zugangsdaten MÜSSEN so gespeichert und verwaltet werden, dass nur berechtigte Personen und Container darauf zugreifen können. Insbesondere MUSS sichergestellt sein, dass Zugangsdaten nur an besonders geschützten
Orten und nicht in den Images liegen. Die von der Verwaltungssoftware des Container-Dienstes bereitgestellten Verwaltungsmechanismen für Zugangsdaten SOLLTEN eingesetzt werden.
Mindestens die folgenden Zugangsdaten MÜSSEN sicher gespeichert werden:
• Passwörter jeglicher Accounts,
• API-Keys für von der Anwendung genutzte Dienste,
• Schlüssel für symmetrische Verschlüsselungen sowie
• private Schlüssel bei Public-Key-Authentisierung."
spec:
Softwarelieferant:
- requirement: MUSS
content: "sicherstellen, dass keine Zugangsdaten (z.B. Passworte, geheime/private Schlüssel, API-Keys, Schlüssel für symmetrische Verschlüsselungen) in Container-Images gespeichert werden."
- requirement: MUSS
content: "Zugangsdaten (z.B. Passworte, geheime/private Schlüssel, API-Keys, Schlüssel für symmetrische Verschlüsselungen) in geschützten Bereichen hinterlegen. Dafür sind Kubernetes Secrets
oder gleichwertige Systeme zu benutzen"
SwWhitepaper: true
TechPolicy: true
TechPolicyRef:
- name: 005-require-secrets
ref: https://gitlab.opencode.de/ig-bvc/ig-bvc-poc-2/ig-bvc-poc-ii-ap-4.1-ff-policy-entwicklung/richtlinien/-/tree/main/policies/005-require-secrets
Die TechPolicyRef koennte halt auch wieder Maschinenlesbar sein... Dies wuerde uns vielleicht die automatisierte Erzeugung der Dokumente erleichtern und ggf. auch WebTools ermoeglichen um die Anforderungen zu bewerten, auszusuchen, policies zu implementieren oder direkt aus einem Webtool zu ziehen ohne sich durch mehrere Git-Repos zu bewegen.