Suchen

Zertifizierung dank sicherem Docker-Container-Image Gehärtete CI-Lösung von CloudBees freigegeben

| Redakteur: Stephan Augsten

Auf Basis der Continuous-Integration-Lösung Jenkins hat Cloudbees eine gehärtete Version von Cloudbees CI entwickelt. Das Produkt eignet sich für DevSecOps-Strategien in Behörden und Unternehmen, die in stark regulierten Branchen tätig sind oder sich mehr Sicherheit wünschen.

Firmen zum Thema

CloudBees bringt auf Basis von Jenkins CI einen gehärtete Continuous-Integration-Server heraus.
CloudBees bringt auf Basis von Jenkins CI einen gehärtete Continuous-Integration-Server heraus.
(Bild: CloudBees)

Kernelement der gehärteten Version von CloudBees (Eigenschreibweise, im Folgenden „Cloudbees“) CI ist ein Container, der ein „Certificate to Field“ (CtF) vom Platform-One-Team der US Air Force erhalten hat. Entsprechend zertifizierte Software-Container dürfen in einer Plattform in einer Umgebung verwendet werden, die ihrerseits bereits eine Betriebsgenehmigung (Authority to Operate, ATO) erhalten hat.

Eine ATO-Zertifizierung wiederum bedeutet, dass eine Plattform die Sicherheitsstandards erfüllt, die in den Richtlinien der DISA STIG und in der NIST RMF festgelegt sind. Behörden und sicherheitsbewusste Unternehmen könnten somit ihre Softwarelieferungs-Pipelines optimieren und gleichzeitig Sicherheitsrisiken senken.

Cloudbees CI baut auf dem Automatisierungsserver Jenkins auf. Die neue Version bietet flexible, geregelte Continuos-Integration-Prozesse. Gehostet werden kann sie On-Premises, in Public Clouds oder in einer hybriden Umgebung. Das neue, gehärtete Docker-Container-Image wird im Department of Defense (DoD) Centralized Artifact Repository (DCAR) abgelegt, einer vom U.S.-Verteidigungsministerium verwalteten Speicherstätte.

Teams aller DoD- oder Zivilbehörden können nunmehr auf das gefestigte Image des Docker-Containers zugreifen und es einfach aus DCAR herausziehen. Die Lösung wurde so konzipiert, dass die Verwendung von anfälligen Bibliotheken oder Komponenten auf ein Minimum reduziert wird. Wenn ein Team beispielsweise eine Bibliothek verwendet, um eine Http-Kommunikation zwischen einem Cloudbees-CI-Master und -Agenten auszuführen, stellt die Funktionalität innerhalb des Cloudbees CI sicher, dass an beiden Enden sichere Ports und Protokolle verwendet werden.

Die neue gehärtete Version von Cloudbees CI kann nicht nur Behörden bei der Umstellung auf sichere DevSecOps-Prozesse helfen: Profitieren sollen auch Unternehmen, die in stark regulierten Branchen tätig sind oder sich einfach mehr Sicherheit wünschen.

(ID:46645605)