... | ... | @@ -26,6 +26,7 @@ Der Softwarebetreiber MUSS... |
|
|
Der Softwarebetreiber SOLL...
|
|
|
- die Prüfung der durch den Softwarelieferanten bereitgestellten Artefakte und Deployment-Anweisungen automatisiert vornehmen und in seine CI/CD-Prozesse integrieren. [^8] (SYS.1.6.A11 S)
|
|
|
- allen Anforderungen entsprechenden Freigabebedingungen für die Inbetriebnahme von Images und Konfigurationen definieren und für den Softwarelieferanten bereitstellen. Hierbei sind die Freigabebedingungen des Plattformbetreibers zu berücksichtigen. [^9] (SYS.1.6.A13 S)
|
|
|
- das automatische Management seines Fachverfahrens durch die Bereitstellung von geeigneten Administrationswerkzeugen unterstützen. [^10] (APP.4.4.A2)
|
|
|
|
|
|
|
|
|
---
|
... | ... | @@ -48,6 +49,8 @@ Die Nachvollziehbarkeit ist Grundlage für die Prüfung der gelieferten Software |
|
|
|
|
|
[^9]: z.B. Nutzung von Lizenzen, Bereitstellung Build-Spezifikation, CVE-/Schwachstellenanalyse, Schadcode-Prüfung, Image-Bereitstellung), Vollständigkeit der Abhängigkeiten
|
|
|
|
|
|
[^10]: Werkzeuge können Deployment-Scripte, Pipeline-Scripte für CI/CD, Kubernetes Operatoren sein (aus IG BvC zu SYS.1.6.A3 alt)
|
|
|
|
|
|
- Der Softwarebetreiber MUSS die Informationen zum Prozess der Bereitstellung und Verteilung von Images an den Softwarelieferanten übergeben und sich mit diesen abstimmen. (SYS.1.6.A4)
|
|
|
|
|
|
- Der Softwarebetreiber SOLL bei der Definition des Prozess zur Bereitstellung und Verteilung von Images folgendes berücksichtigen: (SYS.1.6.A4)
|
... | ... | @@ -57,4 +60,3 @@ Die Nachvollziehbarkeit ist Grundlage für die Prüfung der gelieferten Software |
|
|
- Prüfsummen, Signaturen und Herkunft
|
|
|
- Lifecycle und Patchmanagement von Images
|
|
|
- Nutzung von vertrauenswürdigen Registries |
|
|
|