Trust Center
Dependency Governance
Strukturierte Steuerung von Abhängigkeiten: Lockfile-Management, SCA, Update-Governance und Risikoakzeptanz.
Dependency-Risiken
Klassifikation und Bewertung von Risiken durch externe Abhängigkeiten im Software-Lieferkette.
Supply-Chain-Risiken
- ● Kompromittierte Upstream-Pakete (z. B. Malware in npm/Packagist)
- ● Abhängigkeitsverwirrung (Dependency-Confusion-Angriffe)
- ● Typo-Squatting und Brandjack-Angriffe
- ● Unbekannte transitive Abhängigkeiten
Technische Risiken
- ● Veraltete oder nicht gewartete Bibliotheken
- ● Breaking Changes in Major-Updates
- ● Inkompatible Lizenzmodelle
- ● Fehlende Reproduzierbarkeit durch unreproduzierbare Builds
Lockfile-Governance
Verbindliche Vorgaben für Lockfiles zur Sicherstellung deterministischer und reproduzierbarer Installationen.
composer.lock
PHP- ● Muss im VCS eingecheckt werden
- ● Kein manuelles Editieren der Lock-Datei
- ● Regelmässige Aktualisierung via composer update
- ● Diff-Review bei Lockfile-Änderungen im PR
package-lock.json
Node- ● Muss im VCS eingecheckt werden
- ● Kein manuelles Editieren der Lock-Datei
- ● Regelmässige Aktualisierung via npm update
- ● Integritätsprüfung via npm ci in CI/CD
Software Composition Analysis (SCA)
Automatisierte Sicherheitsanalyse von Open-Source-Abhängigkeiten durch anerkannte Tooling.
composer audit
PHP- ● Prüft composer.lock gegen die FriendsOfPHP/advisory-db
- ● Teil der CI-Pipeline: composer audit --format=json
- ● Blockt Build bei kritischen (CVSS ≥ 9.0) Advisory-Funden
npm audit
Node- ● Prüft package-lock.json gegen die npm Security Advisory DB
- ● Teil der CI-Pipeline: npm audit --audit-level=high
- ● Eskalation kritischer Funde an das Security-Team
Update-Strategie
Automatisierte Versionsverwaltung und Update-Governance mittels Renovate und strukturiertem PR-Prozess.
Renovate Bot
- ● Automatisierte Dependency-Updates via renovate.json
- ● Gruppierung logisch zusammenhängender Updates
- ● Automergen nur bei Patch- und Minor-Updates mit bestandenen Tests
- ● Major-Updates erfordern manuellen Review durch das Engineering-Team
PR-Governance
- ● Jeder Dependency-PR enthält SCA-Ergebnis und Changelog-Referenz
- ● Mindestens ein Code-Review vor Merge
- ● CI-Pipeline muss vollständig grün sein
- ● Changelog-Eintrag (keepachangelog) bei Breaking Changes
Risikoakzeptanz-Prozess
Formaler Prozess zur Akzeptanz von nicht behebbaren oder bewusst eingegangenen Abhängigkeitsrisiken.
-
1
Identifikation: SCA-Fund oder manuelle Risikoerfassung im Risk-Register
-
2
Bewertung: Klassifikation (CVSS, Auswirkung, Eintrittswahrscheinlichkeit) durch das Security-Team
-
3
Massnahmenprüfung: Gibt es einen Patch, Workaround oder eine Alternative? Wenn nein, geht es in die Akzeptanz.
-
4
Akzeptanz: Formelle Risikoakzeptanz durch CISO oder Engineering Lead mit Begründung, Gültigkeitsdauer und Mitigationsplan
-
5
Überwachung: Wiederkehrendes Review akzeptierter Risiken im quartalsweisen Risk Review Board
ISO 27001 Verbindung
Die Dependency-Governance adressiert die ISO-Controls für Lieferketten-Sicherheit, Bedrohungsanalyse und Richtlinienkonformität.
- A.5.1 — Informationssicherheitsrichtlinien
- A.5.7 — Bedrohungsintelligenz
- A.5.36 — Konformität mit Richtlinien und Standards
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.
Reifegrad
-
1 Initial
Ad-hoc-Ansätze, keine formalen Prozesse
-
2 Defined
Formale Prozesse definiert, aber nicht durchgängig umgesetzt
-
3 Implemented
Prozesse vollständig umgesetzt und dokumentiert
-
4 Monitored
Prozesse werden überwacht und gemessen
-
5 Optimized
Kontinuierliche Verbesserung und Anpassung