|
|
# Lieferung
|
|
|
|
|
|
Der Softwarelieferant MUSS...
|
|
|
- Beispieltext (SYS.1.6.AX)
|
|
|
- eine vollständige Software Bill of Materials (SBOM) in einem abgestimmten Format abgeben. [^1] (SYS.1.6.A13)
|
|
|
|
|
|
Der Softwarelieferant SOLL...
|
|
|
- Beispieltext (SYS.1.6.AX)
|
|
|
- Build-Spezifikationen (bspw. Dockerfile) für Images liefern. [^2] (SYS.1.6.A13)
|
|
|
- Freigabebedingungen für die erstellte Software sowie für Images und Konfigurationen in den Lieferantenprozessen definieren. Hierbei sind die Freigabebedingungen des Softwarebetreibers zu berücksichtigen.
|
|
|
- die Freigabebedingungen in einem definierten Freigabeprozess im Lieferantenkontext prüfen und alle Informationen für den weiteren Freigabeprozess an den Softwarebetreiber übergeben. Zu den übergebenen Informationen gehören auch die Ergebnisse des eigenen Freigabeprozesses. (SYS.1.6.A13)
|
|
|
|
|
|
Der Softwarelieferant KANN...
|
|
|
- Beispieltext (SYS.1.6.AX)
|
|
|
- die zu liefernden Images bereits vor der finalen Lieferung mit dem Prüfstandard des Softwarebetreibers überprüfen. [^4] (SYS.1.6.A13)
|
|
|
|
|
|
|
|
|
---
|
|
|
**Umsetzungshinweise**
|
|
|
|
|
|
*Zu SYS.1.6.AX:*
|
|
|
Beispielhinweis |
|
|
\ No newline at end of file |
|
|
[^1]: Dokumentation der genutzten Komponenten, Ermöglichung der Prüfung von Lizenzen
|
|
|
|
|
|
[^2]: Dient der Ermöglichung der statischen Analyse auf Schwachstellen und Schadsoftware
|
|
|
|
|
|
[^3]: z.B. Auflistung der Abhängigkeiten, statische und dynamische Tests
|
|
|
|
|
|
[^4]: Das ermöglicht dem Lieferanten, seine eigene Software qualitätszusichern und nicht vom Prüfergebnis des Betreibers "überrascht" zu werden. Das kann z.B. durch eine standardisierte Entwicklungsumgebung realisiert werden, die dem Lieferanten bereitgestellt wird. |
|
|
\ No newline at end of file |