Sicherer Entwicklungslebenszyklus
Wie funktioniert Mendix sichere Änderungsprozesse in der Softwareentwicklung managen?
Mendix erzwingt einen Secure Development Lifecycle (SDL) in allen Teams, die für die Mendix Plattform, Mendix Cloud und unterstützende Anwendungen. Dieser Prozess stellt sicher, dass Sicherheits-, Rechts- und Qualitätsaspekte von der Planung bis zum Betrieb nach der Veröffentlichung berücksichtigt werden.
Welche sicheren Entwicklungspraktiken gibt es?
Alle Mendix Entwickler werden regelmäßig in sicherer Programmierung geschult, um häufige Schwachstellen zu vermeiden und sensible Daten richtig zu verarbeiten. Bei rechtlichen oder sicherheitsrelevanten Fragen (z. B. Datenschutz oder Open-Source-Lizenzierung) konsultieren die F&E-Teams MendixSicherheits- oder Rechtsabteilungen von . Ausgelagerte Entwicklungsteams unterliegen denselben Standards und Compliance-Anforderungen wie interne Teams.
Wie wird das Produktportfolio im Hinblick auf die Sicherheit verwaltet?
Das Produktportfolio wird vom Chief Product Officer, dem Product Management Board und den zuständigen Produktmanagern überprüft und abgestimmt. Sicherheits- und Datenschutzanforderungen werden in der Produktvisions- und Planungsphase identifiziert und berücksichtigt. Interne IT-gestützte Apps werden separat vom IT Program Board verwaltet.
Wie wird der Quellcode sicher verwaltet und kontrolliert?
Der Zugriff auf den Quellcode ist ausschließlich Entwicklern und Ingenieuren vorbehalten und kann nur über Mendix VPN und durch Authentifizierung mit SSO. Die Zugriffskontrolle auf Repositories wird von Entwicklungsteams verwaltet, wobei der CTO als Endverantwortlicher für den Zugriff auf den Quellcode durch F&E und der CIO als Endverantwortlicher für den Zugriff auf den Quellcode durch IT-Probleme verantwortlich ist.
Wie werden Peer-Reviews und Codequalität sichergestellt?
Jede wesentliche Codeänderung wird einem Peer-Review nach dem 4-Augen-Prinzip oder Paarprogrammierung unterzogen. Dies gewährleistet die Einhaltung sicherer Codierungsstandards und verhindert unbefugte Änderungen. Entwickler können Updates nicht eigenmächtig in die Produktion übertragen, wodurch eine ordnungsgemäße Aufgabentrennung gewährleistet wird.
Welche Kontrollen des Änderungsmanagements werden durchgesetzt?
Jede Änderung erfordert eine dokumentierte Geschichte, eine Risikobewertung, einen Rollback-Plan, ein Peer-Review, Tests und die Genehmigung durch das Management. Diese Kontrollen sind in den Entwicklungsprozess integriert und werden vierteljährlich von Prüfern überprüft. Mendix integriert auch automatisierte Sicherheitsprüfungen, wie Snyk für die Softwarezusammensetzungsanalyse und Veracode für statische Anwendungssicherheitstests.
Wie wird mit Testdaten sicher umgegangen?
Mendix Stellt sicher, dass Testumgebungen logisch isoliert und frei von vertraulichen oder sensiblen Daten sind. Personas simulieren Benutzer während des Tests, und alle Testdaten werden vor der Veröffentlichung gelöscht. Die Testdokumentation wird ein Jahr lang aufbewahrt, um die Rückverfolgbarkeit und den Kundenservice zu gewährleisten.
Welche Verfahren gelten für die Produktfreigabe?
Die Release-Vorbereitung umfasst umfassende Tests, Risikobewertung und Dokumentation, einschließlich Versionierungs- und Rollback-Strategien. Alle Releases bedürfen der formellen Genehmigung durch einen verantwortlichen Manager. Fehlt die Genehmigung, werden Releases blockiert. Code-Review-Tools überprüfen zudem vor der Bereitstellung die Einhaltung der Open-Source-Lizenzen.
Was ist die Rollback- oder Rollforward-Strategie im Falle von Problemen nach der Veröffentlichung?
Mendix Bei der Lösung kritischer Probleme nach der Veröffentlichung wird ein Rollforward-Ansatz bevorzugt – die Aktualisierung auf eine neue Version mit Fix und gleichzeitiger Wahrung der Prüfprotokolle. Ist ein Rollback erforderlich, werden Datenintegrität und Backup-Pläne vor der Ausführung sorgfältig geprüft.
Wie wird die Sicherheit nach der Veröffentlichung aufrechterhalten?
Einmal bereitgestellt, Mendix Produkte werden kontinuierlich mithilfe automatisierter Tools, externer Testpartner und eines öffentlichen Bug-Bounty-Programms auf Schwachstellen getestet. Diese kontinuierliche Evaluierung gewährleistet eine hohe Sicherheit während des gesamten Produktlebenszyklus.
Was passiert, wenn ein Produkt das Ende seiner Lebensdauer erreicht?
Wenn eine Mendix Sobald das Produkt ausläuft, werden die Daten gemäß den geltenden Gesetzen und Vorschriften sicher gelöscht. Die Abteilungen für Informationssicherheit und Datenschutz überwachen diesen Prozess, um die Einhaltung gesetzlicher und regulatorischer Vorschriften zu gewährleisten.
Für weitere Informationen, siehe Conveyor.