... | ... | @@ -4,7 +4,7 @@ Der Softwarelieferant MUSS... |
|
|
|
|
|
- die Nutzung von temporären Speicher so vorsehen, dass ein Restart des Containers und ein Wechsel des Hosts zur Laufzeit möglich ist. (SYS.1.6.A9 S)
|
|
|
- notwendige persistente Volumen und deren Nutzung (z. B. RWM, RWO, RW/RO) im Deployment beschreiben. [^1] (SYS.1.6.A19 S)
|
|
|
- sicherstellen, dass keine Zugangsdaten (z.B. Passworte, geheime/private Schlüssel, API-Keys, Schlüssel für symmetrische Verschlüsselungen) in Container-Images gespeichert werden. (SYS.1.6.A8)
|
|
|
- sicherstellen, dass keine Zugangsdaten (z.B. Passworte, geheime/private Schlüssel, API-Keys, Schlüssel für symmetrische Verschlüsselungen) in Container-Images gespeichert werden. (SYS.1.6.A8) [^5]
|
|
|
- Zugriffe und Berechtigungen auf Ressourcen durch seine Software auf die technisch notwendigen Zugriffe beschränken. (SYS.1.6.A21 H)
|
|
|
- Regelungen des Softwarebetreibers berücksichtigen und auf Funktionen verzichten, die Veränderungen auf die Datenbereiche / das File-System des Containers erfordern (z.B. Updates, Protokollierung, Nutzdaten). Der Container muss in seinen Ressourcen eingeschränkt werden (z.B. Datenmenge und Speicherzugriffe). (SYS.1.6A23 H)
|
|
|
- sicherstellen, dass Daten nicht in das Root-File-System geschrieben werden können. (SYS.1.6A23 H)
|
... | ... | @@ -29,3 +29,5 @@ Der Softwarelieferant KANN... |
|
|
[^3]: TM: PodSecurityPolicy ist jetzt securityContext
|
|
|
|
|
|
[^4]: Es sollte nur persistent Storage genutzt werden. "Sollte" bietet Ausnahmen für flüchtige Anwendungsfälle \[virenscan\].
|
|
|
|
|
|
[^5]: Anstatt statische Secrets auszuliefern können Secrets beim Deployment generiert werden. |