Secure Development
Security im SDLC
| Phase | Sicherheitsmaßnahme | Beschreibung |
|---|---|---|
| Design | Threat Modeling | Identifikation von Angriffsvektoren vor Implementierung |
| Implementierung | Secure Coding Guidelines | OWASP Top 10, Input-Validierung, parameterisierte Queries |
| Code Review | Vier-Augen-Prinzip | Sicherheitsrelevante Änderungen erfordern Review |
| Test | Automatisierte Security-Tests | SAST, Dependency-Scan in CI/CD |
| Deployment | Härtung | Minimale Rechte, sichere Konfiguration, Secrets-Management |
| Betrieb | Monitoring + Patching | Log-Analyse, Vulnerability-Scanning, Patch-Management |
CI/CD-Security-Pipeline
Jeder Commit durchläuft automatisiert:
| Schritt | Tool-Kategorie | Blockiert bei Fehler |
|---|---|---|
| Markdown-Lint / Code-Lint | markdownlint, ESLint | Ja |
| Build | Framework-spezifisch | Ja |
| Dependency-Audit | npm audit, Trivy | Bei high/critical |
| SAST (falls anwendbar) | Codeanalyse | Bei critical |
Dependency Management
| Maßnahme | Beschreibung |
|---|---|
| Lockfile | Alle Abhängigkeiten sind versioniert und gelockt (package-lock.json) |
| Automatisierte Updates | Dependabot prüft wöchentlich auf neue Versionen |
| Audit | npm audit in CI-Pipeline, blockiert bei high/critical |
| Review | Neue Abhängigkeiten erfordern Begründung und Review |
| Minimierung | So wenig Abhängigkeiten wie möglich, bevorzugt aktiv gepflegt |
Secrets Management
| Anforderung | Umsetzung |
|---|---|
| Keine Secrets im Code | Pre-commit Hook prüft auf Patterns (API-Keys, Passwörter) |
| Umgebungsvariablen | Secrets über Environment-Variablen, nicht in Dateien |
| CI/CD-Secrets | Über GitHub Actions Secrets, nicht im Repository |
| Rotation | Regelmäßige Rotation von API-Keys und Service-Accounts |
CRA-Synergie
Die produktbezogene Secure-Development-Pipeline (SBOM-Generierung, Cosign-Signierung, Multi-Engine-Vulnerability-Scan) ist in der CRA-Dokumentation beschrieben.