Integrierte Automatisierung und Richtliniendurchsetzung

Das Identitäts- und Zugriffsmanagement (IAM, Identity and Access Management) zählt zu den größten Angriffsvektoren in der Software-Lieferkette. Schütze den Zugriff mit GitLab, indem du alle menschlichen und maschinellen Identitäten, die in deiner Umgebung tätig sind, authentifizierst, autorisierst und kontinuierlich validierst.

• Implementiere eine granulare Zugriffskontrolle, einschließlich 2-Faktor-Authentifizierung.
• Erstelle Token-Ablaufrichtlinien.
• Lege Richtlinien gemäß betrieblichen Regeln oder gesetzlichen Vorschriften fest.
• Erstelle umfassende Prüf- und Governance-Berichte zur Sicherstellung der Konformität.
• Erzwinge Zwei-Personen-Genehmigungen als zusätzliche Schutzvorkehrung.

Stelle die Sicherheit und Integrität deines Quellcodes sicher, indem du verwaltest, wer Zugriff auf den Code hat und wie Änderungen am Code überprüft und zusammengeführt werden.

• Richte eine Versionskontrolle, Codeverlauf und Zugriffskontrolle für deinen Quellcode ein.
• Verwende automatisierte Tests für die Codequalität, um die Auswirkungen von Änderungen auf die Leistung zu analysieren.
• Erzwinge Überprüfungs- und Genehmigungsregeln, um zu steuern, was in die Produktion einfließt.
• Führe automatisierte Sicherheitsscans durch, um Sicherheitslücken zu erkennen, bevor dein Code zusammengeführt wird.
• Stelle mittels automatisierter Erkennung von Geheimnissen sicher, dass dein Quellcode keine Passwörter und vertrauliche Informationen enthält.
• Implementiere signierte Commits, um Identitätsdiebstahl von Entwickler(inne)n zu verhindern.

Stelle sicher, dass keine in deinen Projekten verwendeten Open-Source-Abhängigkeiten bekannte Sicherheitslücken enthalten, dass sie aus einer vertrauenswürdigen Quelle stammen und dass sie nicht manipuliert wurden.

• Erstelle eine automatisierte Leistungsbeschreibung der Software, um die Abhängigkeiten deiner Projekte zu identifizieren.
• Erkenne mittels einer automatisierten Analyse der Softwarezusammensetzung (SCA) automatisch Sicherheitslücken in jeder verwendeten Software mit Abhängigkeiten.
• Prüfe die Lizenzkonformität, um sicherzustellen, dass dein Projekt Software verwendet, für die dein Unternehmen lizensiert ist.

Verhindere, dass bösartige Akteure schädlichen Code in den Build-Prozess injizieren und die Kontrolle über die von der Pipeline erstellte Software oder den Zugriff auf in der Pipeline verwendete Geheimnisse erlangen.

• Isoliere deine Build-Umgebung, um unbefugten Zugriff oder die Ausführung von bösartigem Code zu verhindern.
• Pflege Release-Beweise für alles, was in dem Release enthalten ist.
• Stelle mit Build-Artefakt-Attestierung sicher, dass deine Build-Artefakte nicht kompromittiert werden.

Verhindere, dass Angreifer Schwachstellen im Design oder in den Konfigurationen einer Anwendung ausnutzen, um private Daten zu stehlen, unbefugten Zugriff auf Konten zu erhalten oder sich als legitime Benutzer(innen) auszugeben.

• Richte eine sichere Verbindung zu deinem Cluster ein, um deine Release-Artefakte bereitzustellen.
• Identifiziere Sicherheitslücken in laufenden Anwendungen, bevor du sie bereitstellst.
• Stelle sicher, dass deine API-Schnittstellen deine laufende Anwendung nicht gefährden.