Skip to content
Snippets Groups Projects
New look: Off

[Draft] Dependency Track für alle FITKO Produkte

    • Open Issue created by Andreas Huber @Andreas_Huber

    Warum

    Wir betreiben bereits eine Instanz von Dependency Track um unsere SBOMs zu managen. Die damit adressierten Anforderungen treffen aber alle FITKO Produkte. Daher soll unser Dependency Track zu einem FITKO Dependency Track werden.

    Ziel

    Anforderungen an SBOM

    • Transparenz: Alle Software-Komponenten und deren Abhängigkeiten sollten klar dokumentiert sein.
    • Aktualität: SBOM-Daten müssen regelmäßig aktualisiert werden, um neue Sicherheitslücken zu berücksichtigen.
    • Integration: SBOM-Management sollte nahtlos in bestehende CI/CD-Pipelines integriert werden können.
    • Compliance: Erfüllung gesetzlicher und regulatorischer Anforderungen an die Software-Sicherheit.

    Das Berechtigungskonzept für FITKO-Produkte sollte folgende Punkte umfassen:

    • Nutzerrollen und -rechte definieren: Verschiedene Rollen (z. B. Administrator, Entwickler, Auditor(IT-Sicherheit)) und deren Berechtigungen klar festlegen.
    • Zugangsbeschränkungen: Zugriff auf sensible Daten und Funktionen nur für autorisierte Nutzer erlauben.
    • Protokollierung und Überwachung: Alle Zugriffe und Aktionen protokollieren, um Missbrauch zu erkennen und zu verhindern.
    • Regelmäßige Überprüfung: Periodische Überprüfung der Rollen und Berechtigungen, um sicherzustellen, dass sie noch aktuell und notwendig sind.
    • Trennung der Produkte: Sicherstellen, dass Berechtigungen spezifisch für jedes Produkt definiert und verwaltet werden.

    Links, Hinweise, Bemerkungen

    Was müssen wir dafür ändern?

    • Neue Domain: dtrack.fitko.net
    • Berechtigungskonzept/Mandantentrennung
    • Dokumentation in der Betriebsdoku
    • Dokumentation der Beschaffung: Warum haben wir uns für Dependency Track entschieden?

    Noch zu klären:

    • Ziehen wir DTrack vom Tools Stack auf einen eignen Server um? (vermutlich "ja")
    • Wie wird DTrack in Zukunft provisioniert (deployed)?
    • Was sind die Anforderungen an die Verfügbarkeit?
    • Festlegung der Fachverantwortung (FITKO intern zu klären)

    Stories

    Akzeptanzkriterien

    1. ...
    2. ...
    3. ...
    4. Definition of Done wurde überprüft.

    Mögliche Folgeaktivitäten

    Offene Fragen

    0 of 4 checklist items completed

    Designs

      Child items ...

      2. Activity

      Please register or sign in to reply