Security Level 3 Badge
Für die Erreichung des Security Level 3 Badges ist unter anderem ein Schwachstellenmanagementprozess notwendig. Konkret wird überprüft, ob CVEs über einem bestimmten Schweregrad innerhalb einer definierten Frist behoben werden sowie ob Releases frei von kritischen Schwachstellen sind.
Es geht im Falle der Releases um den Zustand zum Zeitpunkt der Veröffentlichung. Es ist also nicht notwendig, dass ein Release frei von kritischen Schwachstellen bleibt, wenn nach der Veröffentlichung neue Schwachstellen bekannt werden.
Erreichung der Badge
Um das Security Level 3 Badge zu erhalten, müssen Sie Informationen über Ihren CVE-Management-Prozess an openCode übermitteln. Konkret müssen Sie eine SBOM (Software Bill of Materials) bereitstellen, und optional ein VEX (Vulnerability Exploitability eXchange) Dokument.
Diese SBOM und das optionale VEX-Dokument müssen an das zentrale Schwachstellenmanegement-System openCode DevGuard übermittelt werden. openCode prüft dann, ob für Ihre eingesetzen Komponenten Schwachstellen bekannt sind und ob diese Schwachstellen innerhalb der definierten Fristen behoben wurden. Durch das Einreichen einer aktualisierten SBOM können Sie zudem nachweisen, dass Sie durch Aktualisieren von Komponenten Schwachstellen behoben haben. Außerdem können Sie durch das Einreichen eines VEX-Dokuments nachweisen, dass bestimmte Schwachstellen für Ihre Nutzung nicht relevant sind.
Unterstützungswerkzeug durch openCode DevGuard
Um Ihnen die Erfüllung der Anforderungen für das Security Level 3 Badge zu erleichtern, stellt openCode Ihnen das zentrale Schwachstellenmanagement-System openCode DevGuard zur Verfügung. Dieses können Sie als openCode NutzerIn kostenlos verwenden.
SBOM und VEX Erstellung
Sie können SBOMs und VEX-Dokumente mit Ihren eigenen Werkzeugen erstellen. Alternativ können Sie auch openCode DevGuard hierfür verwenden.
Anleitung zur Einrichtung von openCode DevGuard
Die folgende Anleitung führt Sie durch die notwendigen Schritte, um openCode DevGuard einzurichten und zu verwenden.
Weitere Informationen zu openCode DevGuard finden Sie in der Dokumentation des DevGuard Projekts.