Sicherheit - Häufig gestellte Fragen

Machst du dir Gedanken über die Sicherheit in Cloud-Services? Interessierst du dich für mehr Informationen über GitLabs Sicherheitsprogramm? Bist du verwirrt über das Modell der gemeinsamen Verantwortung? Du bist nicht allein!

Um mehr zu erfahren, lade dir unser Community Customer Assurance Package herunter. Es enthält 2 ausgefüllte häufige Sicherheitsfragebögen: den CSA CAIQ Level 1-Fragebogen und den Standard Information Gathering (SIG) Lite-Fragebogen. Diese beiden Fragebögen dokumentieren über 300 häufig gestellte Sicherheitsfragen und bieten unseren Kund(inn)en und Interessent(inn)en einen zentralen Ort zur Erfassung dieser Informationen. Wir haben auch einige häufig gestellte Fragen unten zusammengestellt, um bei Sicherheitsprüfungen zu helfen.

Compliance-Berichte und Sicherheitsgarantie

Verfügt GitLab über ein Informationssicherheitsprogramm?

Ja. GitLab, Inc verwaltet ein dokumentiertes Informationssicherheitsprogramm, das Richtlinien und Verfahren enthält, einschließlich, aber nicht beschränkt auf Zugriffsverwaltung, Datenklassifizierung und -schutz sowie Incident Response. Links zu diesen Dokumenten sind auf der Website des Customer Assurance Package verfügbar.

Ist GitLabs Sicherheitsprogramm an Industriestandards ausgerichtet?

Ja. GitLab, Inc verwaltet eine formale Abteilung für Sicherheitsgarantie, die für die Überwachung und Berichterstattung über GitLabs Einhaltung verschiedener Sicherheitsrahmen zuständig ist. Die aktuellste Liste der aktuellen Sicherheitsrahmen und Zertifizierungen, geplanten Zertifizierungen und Anweisungen zum Abrufen von Sicherheitsdokumentation findest du auf der GitLab-Seite für Sicherheitszertifizierungen und Bescheinigungen. GitLab hat Sicherheitskontrollen dokumentiert, die häufigen Industriestandards entsprechen.

Hält GitLab Compliance-Bescheinigungen von Drittanbietern?

Ja. GitLab, Inc verfügt derzeit über einen SOC2 Type 2-Bericht, eine ISO 27001-Zertifizierung und mehrere Selbstbescheinigungen der Industrie, die unter NDA bereitgestellt werden können. Die aktuellste Liste findest du auf der GitLab-Seite für Sicherheitszertifizierungen und Bescheinigungen.

Cloud-Sicherheit

Hängt GitLab.com von Cloud-Anbietern ab, um Kundendienste zu unterstützen?

Ja. GitLab.com wird auf der Google Cloud Platform (GCP) Infrastructure as a Service (IaaS) sowie auf mehreren anderen Sub-Prozessoren bereitgestellt. Weitere Informationen zur Architektur findest du in unserer Produktionsarchitektur

GitLab-Kontrollrahmen

Im Sinne des Kernwerts Effizienz von GitLab Inc verwaltet unser Sicherheits-Compliance-Team eine Reihe von Sicherheitskontrollen, die mehrere zugrunde liegende Anforderungen erfüllen. Einige häufige Kontrollen sind unten aufgeführt.

Verschlüsselt GitLab meine Daten bei der Übertragung und im Ruhezustand?

Ja. GitLab, Inc nutzt TLS Strict, HTTPS und Universal SSL, um Daten bei der Übertragung zu verschlüsseln. Daten werden im Ruhezustand mit Google Cloud Platform verschlüsselt, die AES-256 unterstützt.

Verfügt GitLab über einen Incident-Response-Plan?

Ja. GitLab, Inc verfügt über ein dediziertes Security Incident Response Team und einen dokumentierten Incident Management Plan, der Identifizierung, Eindmmung, Behebung und Kommunikation während des gesamten Lebenszyklus eines Incidents umfasst.

Führt GitLab regelmäßig Penetrationstests durch ein Drittunternehmen durch?

Ja. GitLab, Inc arbeitet mit einem Drittanbieter zusammen, um jährliche Penetrationstests unserer Infrastruktur und unseres Produkts durchzuführen. GitLab verlangt, dass eine NDA vorhanden ist, bevor der Jahresbericht bereitgestellt wird. Ein detailliertes Engagement-Schreiben wird mit einer NDA angefordert.

Verfügt GitLab über einen Business-Continuity-Plan/Disaster-Recovery-Plan?

Ja, GitLab verfügt über einen Business-Continuity-Plan, der jährlich überprüft und getestet wird.

Auf welche Daten hat GitLab Zugriff (persönlich und geschäftlich)?

GitLab, Inc benötigt Informationen zur Erstellung von Benutzerkonten, einschließlich, aber nicht beschränkt auf Name, E-Mail und IP-Adressen. Zusätzliche Geschäftsinformationen wie Unternehmensname und Mitarbeiterzahl sind zur Unterstütztung von Abrechnung und Vertragsabschluss zugänglich. Persönliche Informationen können aus deinem Profil gelöscht werden und Anfragen zur Datenerlöschung können jederzeit gestellt werden. GitLab, Inc ist der Datenverarbeiter und unsere Kund(inn)en sind Datenverantwortliche. Weitere Informationen, die bereitgestellt werden können, aber nicht erforderlich sind, sind unten aufgeführt:

Persönliche Details (einschließlich, aber nicht beschränkt auf):

• Stadt
• Postleitzahl
• Land
• Bundesland oder Gebiet

Führt GitLab Sicherungen durch?

Ja. GitLab führt Sicherungen mit kontinuierlichen inkrementellen Daten durch. Sicherungen werden verschlüsselt und regelmäßig getestet.

Wie lange sind GitLabs RTO- und RPO-Zeiten?

GitLab hat derzeit keine angegebene RTO/RPO für die Disaster Recovery von GitLab.com. Die Festlegung angegebener Ziele als Teil unserer Wiederherstellungsfähigkeiten ist ein wichtiges Ziel für GitLab. Im Einklang mit unserem Fokus auf Transparenz stellen wir diese Werte nur bereit, wenn sie auf der Grundlage tatsächlicher Testergebnisse simulierter Disaster-Recovery-Szenarien zuverlässig sind. Wir laden dich ein, dich mit unserer SaaS-Architektur sowie mit der Art und Weise, wie wir die Verfügbarkeit überwachen, vertraut zu machen.

GitLab-Produktsicherheit

Wie geht GitLab mit Sicherheitsversionen um?

GitLab veröffentlicht Patches für Schwachstellen in dedizierten Sicherheitsversionen. Es gibt zwei Arten von Sicherheitsversionen:

• Monatlich geplante Sicherheitsversion, die eine Woche nach der Funktionsversion veröffentlicht werden soll (die monatlich bereitgestellt wird)
• Ad-hoc-Sicherheitsversionen für kritische Schwachstellen. Der Fix für jede Schwachstelle wird auf die aktuelle Version und die 2 vorherigen major.minor-Versionen zurückportiert.

Um dir zu helfen, die behobenen Schwachstellen zu verstehen, wird jeder Sicherheitsversion ein Blogbeitrag beigefügt, der eine kurze Beschreibung, die betroffenen Versionen und die zugewiesene CVE-ID für jede Schwachstelle enthält. Blog-Beiträge zu Funktions- und Sicherheitsversionen befinden sich im releases-Bereich unseres Blogs. Darüber hinaus werden die Probleme, die jede Schwachstelle detailliert beschreiben, 30 Tage nach der Version, in der sie behoben wurden, veröffentlicht. Es wird dringend empfohlen, dass alle Kund(inn)en auf mindestens die neueste Sicherheitsversion für ihre unterstützte Version aktualisieren.

Um benachrichtigt zu werden, wenn eine Sicherheitsversion veröffentlicht wird, sind die folgenden Kanäle verfügbar:

• Sicherheitsmitteilungs-Mailingliste
• Sicherheitsversions-RSS-Feed
• Alle GitLab-Versionen RSS-Feed

Kann GitLab Kund(inn)en vorab über eine Sicherheitsversion benachrichtigen?

Wir bieten Kund(inn)en keine Vorankkündigung von Sicherheitsversionen an. Wir haben zwei Hauptgründe dafür:

• Wie oben erwähnt, sind regelmäßige Sicherheitsversionen für die Veröffentlichung eine Woche nach unserer Funktionsversion vorgesehen (die monatlich bereitgestellt wird). Wir legen das Datum für die Sicherheitsversionen nach der Funktionsversion fest, und wir können nicht immer ein genaues Veröffentlichungsdatum innerhalb dieses siebentägigen Fensters genau bestimmen (aufgrund von manuellen Prozessen, die noch vorhanden sind, und möglichen unvorhergesehenen Verzögerungen, die auftreten können).
• Wir führen häufig kritische Sicherheitsversionen ad hoc durch, besonders in Fällen mit großer Dringlichkeit. In diesen Szenarien ist es schwierig, eine Vorankkündigung bereitzustellen, und es könnte sogar einen kritischen Fix verzögern und unsere Kund(inn)en gefährden. Stattdessen veröffentlichen wir normalerweise, sobald wir einen Fix haben, und benachrichtigen über unsere Sicherheitsmitteilungs-Mailingliste.

Wir verstehen, dass Sicherheitsversionen und kritische Fixes nicht immer praktisch für unsere Nutzer(innen) sind. Wir überprüfen und verfeinern weiterhin unsere Kommunikationsprozesse rund um kritische Sicherheitsvorfälle und haben uns das Ziel gesetzt, ein 6-Stunden-Fenster für die Bearbeitung von Kundenkommunikation im Zusammenhang mit einer Schwachstelle mit S1-Schweregrad zu schaffen, um kritische Informationen so schnell wie möglich in die Hände der Nutzer(innen) zu bringen.

Die beste Möglichkeit, über Sicherheitsversionen und kritische Fixes auf dem Laufenden zu bleiben, ist die Anmeldung bei unserer Sicherheitsmitteilungs-Mailingliste.

Können GitLab-Teamangehörige auf private Repositorys zugreifen?

Ja. Der GitLab, Inc Customer Support benötigt Zugriff auf Kunden-Repositorys, die auf gitlab.com gehostet werden. Teamangehörige greifen jedoch nicht auf private Repositorys zu, es sei denn, dies ist für Support und Fehlerbehebung erforderlich. Zugriffsmethoden umfassen unter anderem Identitätswechsel. Bei der Bearbeitung eines Support-Problems bemühen wir uns, deine Privatsphäre so weit wie möglich zu respektieren. Nachdem wir die Kontoinhaber(innenschaft) überprüft haben, greifen wir nur auf die Dateien und Einstellungen zu, die zur Lösung deines Problems erforderlich sind. Der Support kann sich in dein Konto anmelden, um auf Konfigurationen zuzugreifen, aber wir begrenzen den Umfang unserer Überprüfung auf den minimalen Zugriff, der erforderlich ist, um dein Problem zu lösen. Falls wir einen Klon deines Codes abrufen müssen, tun wir dies nur mit deiner Zustimmung. Alle geklonten Repositorys werden gelöscht, sobald das Support-Problem gelöst ist. Es gibt zwei Ausnahmen von dieser Richtlinie zum Zugriff auf private Repositorys: Wir untersuchen einen vermeintlichen Verstoß gegen unsere Nutzungsbedingungen oder wir sind verpflichtet, auf Repositorys als Teil einer rechtlichen oder Sicherheitsangelegenheit zuzugreifen.

Kann GitLab gehärtet werden?

Ja. GitLab kann gehärtet werden und wir haben Informationen dazu veröffentlicht. Sie ist in Blog-Beiträgen und unserer Dokumentation verfügbar. Weitere Informationen findest du unter Härten deiner GitLab-Instanz.

Das Customer Assurance Package wurde entwickelt, um es jedem zu ermöglichen, GitLabs Sicherheitslage zu überprüfen und zu bewerten.

Diese FAQ gilt nur für unsere Software as a Service (SaaS); GitLab.com.

Du kannst dich auf der Kontaktseite für Sicherheitsmitteilungen anmelden.