... | ... | @@ -22,18 +22,10 @@ Der Softwarebetreiber MUSS... |
|
|
- den sicheren Transport der Deployment-Artefakte, insb. Images, unter Berücksichtigung des Bausteins CON.9 Informationsaustausch sicherstellen. (SYS.1.6.A12 S)
|
|
|
- die Freigabebedingungen in einem Freigabeprozess gemäß des Bausteines OPS.1.1.6 Software-Test und -Freigaben definieren. (SYS.1.6.A13 S)
|
|
|
- einen definierten Freigabeprozess für die Produktivsetzung der Anwendung / neuer Versionen etablieren. (SYS.1.6.A13 S)
|
|
|
- die Informationen zum Prozess der Bereitstellung und Verteilung von Images an den Softwarelieferanten übergeben und sich mit diesen abstimmen. [^7] (SYS.1.6.A4)
|
|
|
|
|
|
Der Softwarebetreiber SOLL...
|
|
|
- die Prüfung der durch den Softwarelieferanten bereitgestellten Artefakte und Deployment-Anweisungen automatisiert vornehmen und in seine CI/CD-Prozesse integrieren. [^8] (SYS.1.6.A11 S)
|
|
|
- allen Anforderungen entsprechenden Freigabebedingungen für die Inbetriebnahme von Images und Konfigurationen definieren und für den Softwarelieferanten bereitstellen. Hierbei sind die Freigabebedingungen des Plattformbetreibers zu berücksichtigen. [^9] (SYS.1.6.A13 S)
|
|
|
- bei der Definition des Prozess zur Bereitstellung und Verteilung von Images folgendes berücksichtigen: [^10] (SYS.1.6.A4)
|
|
|
- Auflistung erforderlicher Lizenzen
|
|
|
- Bereitstellung von Deployment-Artefakten und Build-Spezifikationen
|
|
|
- Prüfung auf Schwachstellen (statische und dynamsiche Tests), Schadsoftware, veraltete Komponenten, Build-Dependencies
|
|
|
- Prüfsummen, Signaturen und Herkunft
|
|
|
- Lifecycle und Patchmanagement von Images
|
|
|
- Nutzung von vertrauenswürdigen Registries
|
|
|
|
|
|
|
|
|
---
|
... | ... | @@ -52,13 +44,17 @@ Die Nachvollziehbarkeit ist Grundlage für die Prüfung der gelieferten Software |
|
|
|
|
|
[^6]: Das ermöglicht dem Lieferanten, seine eigene Software qualitätszusichern und nicht vom Prüfergebnis des Betreibers "überrascht" zu werden. Das kann z.B. durch eine standardisierte Entwicklungsumgebung realisiert werden, die dem Lieferanten bereitgestellt wird.
|
|
|
|
|
|
[^7]: Folgende Punkte sollten mindestens betrachtet werden:
|
|
|
- Umgang mit Schwachstellen
|
|
|
- Lizenzvorgaben / Vorgaben zur Lizenzprüfung
|
|
|
- Anforderungen zur Sicherstellung der Vertrauenswürdigkeit von Images
|
|
|
|
|
|
[^8]: z.B. Integration des Werkzeugs in eine CI/CD-Pipeline
|
|
|
|
|
|
[^9]: z.B. Nutzung von Lizenzen, Bereitstellung Build-Spezifikation, CVE-/Schwachstellenanalyse, Schadcode-Prüfung, Image-Bereitstellung), Vollständigkeit der Abhängigkeiten
|
|
|
|
|
|
[^10]: Anzustreben sind SBOM-Dateien zur Lizenzdokumentation |
|
|
- die Informationen zum Prozess der Bereitstellung und Verteilung von Images an den Softwarelieferanten übergeben und sich mit diesen abstimmen. (SYS.1.6.A4)
|
|
|
|
|
|
- bei der Definition des Prozess zur Bereitstellung und Verteilung von Images folgendes berücksichtigen: (SYS.1.6.A4)
|
|
|
- Auflistung erforderlicher Lizenzen
|
|
|
- Bereitstellung von Deployment-Artefakten und Build-Spezifikationen
|
|
|
- Prüfung auf Schwachstellen (statische und dynamsiche Tests), Schadsoftware, veraltete Komponenten, Build-Dependencies
|
|
|
- Prüfsummen, Signaturen und Herkunft
|
|
|
- Lifecycle und Patchmanagement von Images
|
|
|
- Nutzung von vertrauenswürdigen Registries
|
|
|
|