... | @@ -2,20 +2,20 @@ |
... | @@ -2,20 +2,20 @@ |
|
|
|
|
|
Der Softwarelieferant MUSS...
|
|
Der Softwarelieferant MUSS...
|
|
- eine vollständige Software Bill of Materials (SBOM) in einem abgestimmten Format abgeben. [^1] (SYS.1.6.A13 S)
|
|
- eine vollständige Software Bill of Materials (SBOM) in einem abgestimmten Format abgeben. [^1] (SYS.1.6.A13 S)
|
|
- einen definierten Prozess für den Bezug und die Weitergabe von Images etablieren und nachvollziehbar dokumentieren. [^2] (SYS.1.6.A4)
|
|
- einen definierten Prozess für den Bezug und die Weitergabe von Images etablieren und nachvollziehbar dokumentieren. [^2] (SYS.1.6.A4)
|
|
- einen standardkonformen Übergabepunkt zum Softwarebetreiber verwenden. [^3] (SYS.1.6.A4)
|
|
- einen standardkonformen Übergabepunkt zum Softwarebetreiber verwenden. [^3] (SYS.1.6.A4)
|
|
|
|
|
|
Der Softwarelieferant SOLL...
|
|
Der Softwarelieferant SOLL...
|
|
- Deployment Manifeste zur Installation bereitstellen. (SYS.1.6.A9 S)
|
|
- Deployment Manifeste zur Installation bereitstellen. (SYS.1.6.A9 S)
|
|
- sicherstellen, dass zusammenhängende Dienste durch das Deployment bzw. die Orchestrierung als Verwaltungseinheiten bereitgestellt werden können und z.B. geeignete Deployment-Artefakte (Manifeste) liefern. (SYS.1.6.A11 S)
|
|
- sicherstellen, dass zusammenhängende Dienste durch das Deployment bzw. die Orchestrierung als Verwaltungseinheiten bereitgestellt werden können und z.B. geeignete Deployment-Artefakte (Manifeste) liefern. (SYS.1.6.A11 S)
|
|
- für die durch ihn bereitgestellten Software-Artefakte automatisert zu verarbeitende Deployment-Anweisungen bereitstellen (z.B. YAML-basierte Deployments). (SYS.1.6.A11 S)
|
|
- für die durch ihn bereitgestellten Software-Artefakte automatisert zu verarbeitende Deployment-Anweisungen bereitstellen (z.B. YAML-basierte Deployments). (SYS.1.6.A11 S)
|
|
- Build-Spezifikationen (bspw. Dockerfile) für Images liefern. [^4] (SYS.1.6.A13 S)
|
|
- Build-Spezifikationen (bspw. Dockerfile) für Images liefern. [^4] (SYS.1.6.A13 S)
|
|
- Freigabebedingungen für die erstellte Software sowie für Images und Konfigurationen in den Lieferantenprozessen definieren. Hierbei sind die Freigabebedingungen des Softwarebetreibers zu berücksichtigen. [^5] (SYS.1.6.A13 S)
|
|
- Freigabebedingungen für die erstellte Software sowie für Images und Konfigurationen in den Lieferantenprozessen definieren. Hierbei sind die Freigabebedingungen des Softwarebetreibers zu berücksichtigen. [^5] (SYS.1.6.A13 S)
|
|
- die Freigabebedingungen in einem definierten Freigabeprozess im Lieferantenkontext prüfen und alle Informationen für den weiteren Freigabeprozess an den Softwarebetreiber übergeben. Zu den übergebenen Informationen gehören auch die Ergebnisse des eigenen Freigabeprozesses. (SYS.1.6.A13 S)
|
|
- die Freigabebedingungen in einem definierten Freigabeprozess im Lieferantenkontext prüfen und alle Informationen für den weiteren Freigabeprozess an den Softwarebetreiber übergeben. Zu den übergebenen Informationen gehören auch die Ergebnisse des eigenen Freigabeprozesses. (SYS.1.6.A13 S)
|
|
|
|
|
|
|
|
|
|
Der Softwarelieferant KANN...
|
|
Der Softwarelieferant KANN...
|
|
- die zu liefernden Images bereits vor der finalen Lieferung mit dem Prüfstandard des Softwarebetreibers überprüfen. [^6] (SYS.1.6.A13 S)
|
|
- die zu liefernden Images bereits vor der finalen Lieferung mit dem Prüfstandard des Softwarebetreibers überprüfen. [^6] (SYS.1.6.A13 S)
|
|
|
|
|
|
Der Softwarebetreiber MUSS...
|
|
Der Softwarebetreiber MUSS...
|
|
- prüfen, dass die durch den Softwarelieferanten gelieferten Software-Artefakte nur einen Dienst je Container oder Verwaltungseinheit bereitstellen und geeignete Deployment-Anweisungen verfügbar sind. (SYS.1.6.A11 S)
|
|
- prüfen, dass die durch den Softwarelieferanten gelieferten Software-Artefakte nur einen Dienst je Container oder Verwaltungseinheit bereitstellen und geeignete Deployment-Anweisungen verfügbar sind. (SYS.1.6.A11 S)
|
... | @@ -44,7 +44,7 @@ Der Softwarebetreiber SOLL... |
... | @@ -44,7 +44,7 @@ Der Softwarebetreiber SOLL... |
|
[^2]: Der Softwarebetreiber muss seine Prozess entsprechend anpassen können.
|
|
[^2]: Der Softwarebetreiber muss seine Prozess entsprechend anpassen können.
|
|
Die Nachvollziehbarkeit ist Grundlage für die Prüfung der gelieferten Software.
|
|
Die Nachvollziehbarkeit ist Grundlage für die Prüfung der gelieferten Software.
|
|
|
|
|
|
[^3]: Bereitstellung in einer Registry nach OCI-Registry-Format.
|
|
[^3]: Bereitstellung in einer Registry nach OCI-Registry-Format.
|
|
|
|
|
|
[^4]: Dient der Ermöglichung der statischen Analyse auf Schwachstellen und Schadsoftware
|
|
[^4]: Dient der Ermöglichung der statischen Analyse auf Schwachstellen und Schadsoftware
|
|
|
|
|
... | @@ -55,10 +55,10 @@ Die Nachvollziehbarkeit ist Grundlage für die Prüfung der gelieferten Software |
... | @@ -55,10 +55,10 @@ Die Nachvollziehbarkeit ist Grundlage für die Prüfung der gelieferten Software |
|
[^7]: Folgende Punkte sollten mindestens betrachtet werden:
|
|
[^7]: Folgende Punkte sollten mindestens betrachtet werden:
|
|
- Umgang mit Schwachstellen
|
|
- Umgang mit Schwachstellen
|
|
- Lizenzvorgaben / Vorgaben zur Lizenzprüfung
|
|
- Lizenzvorgaben / Vorgaben zur Lizenzprüfung
|
|
- Anforderungen zur Sicherstellung der Vertrauenswürdigkeit von Images
|
|
- Anforderungen zur Sicherstellung der Vertrauenswürdigkeit von Images
|
|
|
|
|
|
[^8]: z.B. Integration des Werkzeugs in eine CI/CD-Pipeline
|
|
[^8]: z.B. Integration des Werkzeugs in eine CI/CD-Pipeline
|
|
|
|
|
|
[^9]: z.B. Nutzung von Lizenzen, Bereitstellung Build-Spezifikation, CVE-/Schwachstellenanalyse, Schadcode-Prüfung, Image-Bereitstellung), Vollständigkeit der Abhängigkeiten
|
|
[^9]: z.B. Nutzung von Lizenzen, Bereitstellung Build-Spezifikation, CVE-/Schwachstellenanalyse, Schadcode-Prüfung, Image-Bereitstellung), Vollständigkeit der Abhängigkeiten
|
|
|
|
|
|
[^10]: Anzustreben sind SBOM-Dateien zur Lizenzdokumentation |
|
[^10]: Anzustreben sind SBOM-Dateien zur Lizenzdokumentation |
|
\ No newline at end of file |
|
|