bug_report Schwachstellen-Managementfeedback

Vorgeschlagen

Dieser Funktionsbaustein wurde als strategisch notwendig identifiziert und befindet sich in der Konzeptionsphase.

Status: Vorgeschlagen | Erstellt am: 13. März 2026 | Autor: BMDS-Architekturteam

lightbulb Motivationfeedback

Die Absicherung der Software-Lieferkette ist essenziell. Ohne systematisches Schwachstellen-Management bleiben bekannte CVEs in Produktionsumgebungen ungepatcht, SBOM-Pflichten werden nicht erfüllt und die Angriffsfläche wächst unkontrolliert.

• CVE-Tracking: Automatische Erkennung von Schwachstellen in Container-Images und Abhängigkeiten.
• SBOM-Validierung: Lückenlose Dokumentation aller Software-Komponenten nach CycloneDX/SPDX.
• Patch-Management: Priorisierte Handlungsempfehlungen basierend auf CVSS und Exploit-Verfügbarkeit.
• Compliance: EU Cyber Resilience Act, BSI IT-Grundschutz (APP.6).

settings Kernfunktionalitätenfeedback

• Container-Image-Scanning: Automatisierte Analyse aller Images in der Registry auf bekannte CVEs.
• SBOM-Generierung: Automatische Erstellung von SBOMs für alle deployten Komponenten.
• Dependency-Tracking: Überwachung transitiver Abhängigkeiten und End-of-Life-Bibliotheken.
• Risk-Scoring: Priorisierung nach CVSS, EPSS (Exploit Prediction) und Kontext.
• Policy-Gates: Blockierung unsicherer Images in der CI/CD-Pipeline.

engineering Technische Einordnungfeedback

Eigenschaft	Wert
Kategorie	Sicherheit & Compliance
GovStack-Mapping	○ -
Referenzstandards	CycloneDX, SPDX, CVSS, EPSS, EU CRA
Open-Source-Referenz	Trivy, Grype, OWASP Dependency-Track

share Abhängigkeitenfeedback

• DevSecOps / GitOps (Scanning in CI/CD-Pipeline)
• Container-Orchestrierung (Image-Registry-Integration)
• SIEM / SOC-Anbindung (Vulnerability-Events an SIEM)

arrow_forward Nächste Schrittefeedback

• PoC mit Trivy + OWASP Dependency-Track in SCS-Cluster
• Definition von SBOM-Pflichten für alle D-Stack-Bausteine
• Konzept für Policy-Gates in der GitOps-Pipeline
• Integration in den D-Stack