Mehrere Compliance-Frameworks in schnellen DevSecOps-Pipelines zu verwalten, wird zunehmend komplexer. Standards entwickeln sich unabhängig voneinander, überschneidende Anforderungen und manuelle Prozesse binden Entwicklungsressourcen und verzögern Audits.

GitLab führt deshalb Custom Compliance Frameworks mit 50 vorkonfigurierten Controls für Standards wie ISO 27001, CIS Benchmark und SOC 2 ein.

Custom Compliance Frameworks ermöglichen die Zuordnung überschneidender Controls aus verschiedenen Standards in ein einheitliches Framework. Compliance-Richtlinien lassen sich direkt in GitLabs CI/CD-Pipelines einbetten und werden automatisch durchgesetzt, ohne Entwicklungsworkflows zu unterbrechen.

Die 50 vorkonfigurierten Controls beschleunigen die Compliance-Einführung ohne externe Tools oder komplexe Konfigurationen. Durch Integration in den Software Development Lifecycle bietet GitLab Echtzeit-Transparenz, automatisierte Durchsetzung und vereinfachte Audit-Vorbereitung für sichere, compliant Software.

Custom Compliance Frameworks und vorkonfigurierte Controls sind ab sofort in GitLab Ultimate verfügbar.

Compliance-Anforderungen in regulierten Branchen

Unternehmen navigieren durch verschiedene Compliance-Frameworks, um regulatorische Anforderungen zu erfüllen. Diese Frameworks teilen oft gemeinsame Controls, sind jedoch selten aufeinander abgestimmt. Die Folge: manuelle Verfolgung in Spreadsheets, besonders problematisch bei Audit-Reviews.

Entwicklungsteams werden in Compliance-Prozesse eingebunden, da moderne Software-Entwicklung zentral für viele Controls ist. Statt sichere Software zu entwickeln, unterstützen sie Evidenzsammlung und Compliance-Reviews. Eine Forrester Total Economic Impact™-Studie zu GitLab Ultimate zeigt: Entwickler verbrachten vor GitLab bis zu 80 Stunden jährlich mit Audit- und Compliance-Aufgaben – Zeit, die von Code-Entwicklung und Wertschöpfung abgezogen wird.

Dieser fragmentierte Ansatz ist ineffizient und kostspielig. Compliance-bezogene Kosten sind laut CATO Institute in den vergangenen fünf Jahren um 60% gestiegen. Ohne System, das Compliance-Durchsetzung dort verankert, wo Software entwickelt wird, bleibt Compliance ein nachträglicher Prozess, der Entwicklungs- und Sicherheitsteams trennt.

Relevanz für deutsche Unternehmen: NIS2 und DSGVO-Compliance

Deutsche Unternehmen unterliegen seit Oktober 2024 der verpflichtenden NIS2-Richtlinie (EU 2022/2555). Artikel 21 bis 23 verlangen systematische Sicherheitsmaßnahmen, Incident-Reporting und Schwachstellenmanagement. Die manuelle Verfolgung multipler Framework-Anforderungen (NIS2, DSGVO, ISO 27001, BSI IT-Grundschutz) verursacht erheblichen administrativen Aufwand.

DSGVO Artikel 32 fordert technische Maßnahmen zur Verarbeitungssicherheit, einschließlich lückenloser Audit-Trails. Custom Compliance Frameworks ermöglichen die Zuordnung von NIS2-Sicherheitsmaßnahmen, DSGVO-technischen Controls und ISO 27001 Annex A-Anforderungen in ein einheitliches, automatisiert durchgesetztes System. Statt separater Compliance-Nachweise für jedes Framework dokumentiert eine Pipeline-Integration alle erforderlichen Controls zentral.

BSI IT-Grundschutz-Bausteine lassen sich ebenfalls als Custom Framework abbilden. Dies kann beispielsweise den Zertifizierungsaufwand für deutsche Bundesbehörden und kritische Infrastrukturen erheblich reduzieren.

Vorteile von Custom Compliance Frameworks

Kunden fragten nach größerer Flexibilität bei der Verfolgung und Durchsetzung von Compliance in DevSecOps-Workflows. Dieses Release ermöglicht:

Compliance-Programme nach geschäftlichen Anforderungen gestalten

Regulatorische Anforderungen überschneiden sich über mehrere Frameworks hinweg und erschweren Nachverfolgung und Durchsetzung. Custom Compliance Frameworks ermöglichen ein einheitliches Framework, das Anforderungen und Controls mehrerer Standards abbildet. Dies reduziert manuellen Aufwand und Abhängigkeit von externen Beratern.

Audit-Vorbereitung von Wochen auf Tage beschleunigen

Mit vorkonfigurierten Controls für SOC 2, ISO 27001 und CIS Benchmarks beginnt Compliance-Monitoring sofort. Automatisierte Überwachung und Evidenzsammlung reduzieren Audit-Vorbereitung von Wochen auf Tage, sodass Entwicklungsteams sich auf sichere Software konzentrieren können.

Pipeline-integrierte Compliance ohne Entwicklungs-Overhead

Im Gegensatz zu isolierten GRC-Tools setzt GitLab Compliance direkt in CI/CD-Pipelines durch, wo Arbeit stattfindet. Diese Integration bedeutet: Compliance-Validierung erfolgt automatisch, während Code durch die Pipeline läuft, ohne Reibung zwischen Entwicklungsgeschwindigkeit und Sicherheitsanforderungen.

💡 Praxis-Einblick: ISO 27001-Framework-Konfiguration

Systematischer 4-Schritt-Workflow:

GitLab Custom Compliance Frameworks ermöglichen präzise ISO 27001-Zuordnung:

Schritt 1: Framework erstellen (Name, Beschreibung, validierte Eingabe mit 255/500 Zeichen-Limits)

Framework erstellen (Name, Beschreibung, validierte Eingabe mit 255/500 Zeichen-Limits) Schritt 2: Anforderungen definieren (z.B. ISO 27001 Annex A.5.3, A.5.17, A.8.28)

Anforderungen definieren (z.B. ISO 27001 Annex A.5.3, A.5.17, A.8.28) Schritt 3: Controls zuordnen (1-3 Controls pro Anforderung – flexible Granularität)

Controls zuordnen (1-3 Controls pro Anforderung – flexible Granularität) Schritt 4: Auf Projekte anwenden (Bulk-Auswahl, systematische Durchsetzung)

Control-Bibliothek: Von 7 auf 50+ Controls erweitert – deckt vollständigen DevSecOps-Lebenszyklus ab:

Code-Review: Vier-Augen-Prinzip, Approval-Workflows (ISO 27001 A.5.3)

Vier-Augen-Prinzip, Approval-Workflows (ISO 27001 A.5.3) Secret-Management: Automatische Secret-Detection (DSGVO Artikel 32)

Automatische Secret-Detection (DSGVO Artikel 32) Security-Scans: Container, Dependency, IaC-Scanning (BSI IT-Grundschutz APP.3.1)

Externe Integration: "Add an external control"-Funktion ermöglicht BSI IT-Grundschutz-Validierung und Drittsystem-Daten – Single Source of Truth für alle Compliance-Anforderungen.

Demo-Video: 15-minütige Produktvorführung zeigt NIS2 + ISO 27001 Dual-Framework-Szenario (typisch für deutsche Unternehmen).

Die folgenden Screenshots zeigen die Konfiguration eines Custom Compliance Frameworks in GitLab:





Rollout-Details für Custom Compliance Frameworks

Zwei kritische Aspekte dieses Releases:

Ab GitLab 18.0 sind Custom Compliance Frameworks standardmäßig aktiviert.

Mit GitLab 18.0 wurden Custom Compliance Frameworks standardmäßig aktiviert. „Standards" wurden aus dem Compliance Center entfernt, um die Benutzeroberfläche zu vereinfachen. Bestehende Compliance-Controls bleiben aktiv. GitLab Standard und SOC 2-Standards wurden in Compliance-Framework-Labels konvertiert, deren Compliance-Checks in Controls (neue Terminologie) umgewandelt.

Nur GitLab Ultimate-Kunden können Anforderungen definieren, Controls zuordnen und Compliance-Frameworks durchsetzen. Premium-Nutzer können Compliance-Labels verwenden, haben jedoch keinen Zugriff auf den vollständigen Funktionsumfang.

Weitere Details zu Custom Compliance Frameworks im Einführungsvideo:

Shift Compliance Left mit GitLab

Ähnlich wie Security bedeutet Shift Compliance Left, Compliance-Anforderungen früher im Software Development Lifecycle zu adressieren. Da Software zentral für Compliance ist, ist die Einbettung von Controls dort, wo Software entwickelt wird, entscheidend. Mit GitLab definieren Security- und Compliance-Teams Frameworks, ordnen Controls zu und automatisieren Durchsetzung direkt in CI/CD-Pipelines. Entwicklungsteams fokussieren sich auf Feature-Entwicklung, während Compliance-Teams Echtzeit-Transparenz und automatisierte Evidenzsammlung für Audit-Bereitschaft erhalten. Dieser einheitliche Ansatz überbrückt die Lücke zwischen Entwicklung und Compliance und ermöglicht kontinuierliche Compliance als Teil der DevSecOps-Praxis.

Laut Forrester reduzieren Unternehmen mit GitLab die Entwicklerzeit für Audit- und Compliance-Aufgaben um 90% und beschleunigen externe Audits von mehreren Wochen auf unter eine Woche.

GitLab Ultimate-Kunden finden in der Compliance Center-Dokumentation Implementierungsanforderungen, Anwendungsfälle und weitere Details zu Custom Compliance Frameworks.

Hinweis: „The Total Economic Impact™ Of GitLab Ultimate" ist eine im Auftrag von GitLab durch Forrester Consulting durchgeführte Studie, Oktober 2024. Ergebnisse basieren auf einer zusammengesetzten Organisation, die befragte Kunden repräsentiert.

Weitere Ressourcen

Englische Originalversion: Introducing Custom Compliance Frameworks in GitLab