... | ... | @@ -20,19 +20,6 @@ Der Softwarelieferant KANN... |
|
|
---
|
|
|
**Umsetzungshinweise**
|
|
|
|
|
|
[^1]: Dokumentation der genutzten Komponenten, Ermöglichung der Prüfung von Lizenzen
|
|
|
|
|
|
[^2]: Der Softwarebetreiber muss seine Prozess entsprechend anpassen können.
|
|
|
Die Nachvollziehbarkeit ist Grundlage für die Prüfung der gelieferten Software.
|
|
|
|
|
|
[^3]: Bereitstellung in einer Registry nach OCI-Registry-Format.
|
|
|
|
|
|
[^4]: Dient der Ermöglichung der statischen Analyse auf Schwachstellen und Schadsoftware
|
|
|
|
|
|
[^5]: z.B. Auflistung der Abhängigkeiten, statische und dynamische Tests
|
|
|
|
|
|
[^6]: Das ermöglicht dem Lieferanten, seine eigene Software qualitätszusichern und nicht vom Prüfergebnis des Betreibers "überrascht" zu werden. Das kann z.B. durch eine standardisierte Entwicklungsumgebung realisiert werden, die dem Lieferanten bereitgestellt wird.
|
|
|
|
|
|
Der Softwarebetreiber MUSS
|
|
|
- die Informationen zum Prozess der Bereitstellung und Verteilung von Images an den Softwarelieferanten übergeben und sich mit diesen abstimmen. (SYS.1.6.A4)
|
|
|
- prüfen, dass die durch den Softwarelieferanten gelieferten Software-Artefakte nur einen Dienst je Container oder Verwaltungseinheit bereitstellen und geeignete Deployment-Anweisungen verfügbar sind. (SYS.1.6.A11 S)
|
... | ... | @@ -51,5 +38,18 @@ Der Softwarebetreiber SOLL |
|
|
- die Prüfung der durch den Softwarelieferanten bereitgestellten Artefakte und Deployment-Anweisungen automatisiert vornehmen und in seine CI/CD-Prozesse integrieren. (SYS.1.6.A11 S)
|
|
|
- allen Anforderungen entsprechenden Freigabebedingungen für die Inbetriebnahme von Images und Konfigurationen definieren und für den Softwarelieferanten bereitstellen. Hierbei sind die Freigabebedingungen des Plattformbetreibers zu berücksichtigen. (SYS.1.6.A13 S)
|
|
|
|
|
|
[^1]: Dokumentation der genutzten Komponenten, Ermöglichung der Prüfung von Lizenzen
|
|
|
|
|
|
[^2]: Der Softwarebetreiber muss seine Prozess entsprechend anpassen können.
|
|
|
Die Nachvollziehbarkeit ist Grundlage für die Prüfung der gelieferten Software.
|
|
|
|
|
|
[^3]: Bereitstellung in einer Registry nach OCI-Registry-Format.
|
|
|
|
|
|
[^4]: Dient der Ermöglichung der statischen Analyse auf Schwachstellen und Schadsoftware
|
|
|
|
|
|
[^5]: z.B. Auflistung der Abhängigkeiten, statische und dynamische Tests
|
|
|
|
|
|
[^6]: Das ermöglicht dem Lieferanten, seine eigene Software qualitätszusichern und nicht vom Prüfergebnis des Betreibers "überrascht" zu werden. Das kann z.B. durch eine standardisierte Entwicklungsumgebung realisiert werden, die dem Lieferanten bereitgestellt wird.
|
|
|
|
|
|
[^7]: Gerade beim Test muss die strikte Trennung (Schutzbedarf und Mandant) umgesetzt werden, da hier Code ausgeführt wird.
|
|
|
|