Zum Inhalt springen
Resilience Platform Resilience Platform

Trust Center

Build Security

Sicherheitskontrollen für Build-Prozesse, Artefakt-Integrität und Deployment-Evidence.

Build-Prozess

  • 1. Code-Checkout aus versionierten Repositories mit signierten Commits und GPG-Verifikation.
  • 2. Isolierte Build-Umgebung in containerisierten Pipelines ohne persistente Netzwerkzugriffe.
  • 3. Automatisierte SAST-/SCA-Prüfung sowie Linting vor der Artefakt-Erstellung.
  • 4. Signierung und Hashing der Build-Artefakte mit Upload in ein immutables Artefakt-Repository.

Artefakt-Integrität

  • Sämtliche Build-Artefakte werden mittels SHA-256 gehasht und der Prüfwert im Artefakt-Repository gespeichert.
  • Jedes Artefakt wird mit einem privaten Code-Signing-Zertifikat signiert; die Signatur wird vor Deployment verifiziert.
  • Die Build-Pipeline protokolliert Hash, Signatur und Metadaten (Source-Commit, Builder-ID, Timestamp) in einem manipulationsgeschützten Log.
  • Ein regelmässiger Re-Hash-Abgleich prüft die Integrität der gespeicherten Artefakte gegen die ursprünglichen Prüfwerte.

Deployment-Evidence

  • Jeder Deployment-Vorgang erzeugt ein strukturiertes Evidence-Paket mit Build-Hash, Signatur-Validierungsergebnis und Zielumgebung.
  • Das Evidence-Paket wird automatisch im Evidence-Management-System abgelegt und mit dem DORA-Bridge-Evidence-Prozess verknüpft.
  • Deployments werden durch ein separates Change-Management-Gremium autorisiert; die Autorisierung wird im Audit-Trail festgehalten.
  • Rückverfolgbarkeit von Source-Commit über Build-Artefakt bis hin zum Produktiv-Deployment ist lückenlos gegeben.

Build-Empfehlungen

  • composer: Fixierte Versionen in composer.lock, —no-dev für Produktion, —optimize-autoloader, —classmap-authoritative.
  • composer: Regelmässiges composer audit in der CI; Verwendung von Satis oder Private Packagist für interne Pakete.
  • npm: Paketfixierung über package-lock.json —ignore-scripts für Produktions-Builds, npm audit in der CI-Pipeline.
  • npm: Verwendung von npm ci statt npm install für deterministische Installationsläufe ohne Abweichungen.
  • CI-Pipeline: Verifikation von Paket-Signaturen und SHA-Summen aller externen Abhängigkeiten vor Installation.

ISO 27001 Verbindung

ISO/IEC 27001:2022 Build Security Control Reference

  • A.5.1 Führungsverantwortung und Strategie
  • A.5.31 Dokumentierte Informationen (Lenkung)
  • A.5.36 Dokumentation und Reporting

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung