|
|
# Lieferung
|
|
|
|
|
|
Der Softwarelieferant MUSS...
|
|
|
- Die Images, Deploymentpakete und Build-Spezifikationen über einen
|
|
|
sicheren Weg an das abgestimmte Repository anliefern oder zur
|
|
|
Abholung bereitstellen (SYS.1.6.A6).
|
|
|
- bei sicherheitsrelevanten und featurebasierten Updates der
|
|
|
Anwendungen neue Images erstellen und eindeutig versioniert
|
|
|
innerhalb der vereinbarten Zeiträume / SLAs zur Verfügung stellen
|
|
|
(SYS.1.6.A14).
|
|
|
- Images dem Softwarebetreiber zugänglich machen und über eine durch
|
|
|
den Plattformbetreiber genehmigte vertrauenswürdige Registry
|
|
|
bereitstellen. Der schreibende Zugang muss authentisiert erfolgen
|
|
|
(SYS.1.6.A30).
|
|
|
|
|
|
Der Softwarelieferant SOLL...
|
|
|
- bei Feststellung einer Verwundbarkeit ein neues Image in einer
|
|
|
vereinbarten Zeit (z.B. SLA) mit entsprechenden Updates zur
|
|
|
Verfügung stellen (SYS.1.6.A29).
|
|
|
- ein neues Image ohne Schwachstellen bereitstellen, sofern
|
|
|
Schwachstellen im durch ihn erstellten Image erkannte Angriffe
|
|
|
ermöglicht haben (SYS.1.6.A32).
|
|
|
|
|
|
Der Softwarelieferant KANN...
|
|
|
- die zu liefernden Images bereits vor der finalen Lieferung mit dem
|
|
|
Prüfstandard des Softwarebetreibers überprüfen (SYS.1.6.A14).
|
|
|
|
|
|
Umsetzungshinweise:
|
|
|
- Hinweis zu (SYS.1.6.A14): Das ermöglicht dem Lieferanten, seine eigene
|
|
|
Software qualitätszusichern und nicht vom Prüfergebnis des Betreibers
|
|
|
\"überrascht\" zu werden. Das kann z.B. durch eine standardisierte
|
|
|
Entwicklungsumgebung realisiert werden, die dem Lieferanten
|
|
|
bereitgestellt wird.
|
|
|
|