Zum Inhalt

Sicherheit & DevGuard-Integration

Die Sicherheit Ihrer Software ist kein nachträgliches Extra, sondern ein grundlegender Bestandteil verantwortungsvoller Entwicklung. Aus diesem Grund ist auf gitlab.opencode.de der Dienst DevGuard direkt integriert.

DevGuard unterstützt Sie dabei, Sicherheitslücken frühzeitig zu erkennen, Abhängigkeiten transparent zu halten und Sicherheitsstandards kontinuierlich einzuhalten.

Was ist DevGuard?

DevGuard ist ein Open-Source-Werkzeug zur automatisierten Sicherheitsanalyse von Softwareprojekten. Es unterstützt unter anderem bei:

  • der Analyse von Abhängigkeiten (Dependency Scans)
  • der Erkennung bekannter Sicherheitslücken (CVEs)
  • der Erstellung und Auswertung von SBOMs (Software Bill of Materials)
  • der Weitergabe von Sicherheitsrelevanten Dokumentationen wie SBOMS als Attestierungen.

Die Integration erfolgt direkt über GitLab und ist für Projekte auf openCode bereits vorbereitet.

Voraussetzungen

Damit DevGuard sinnvoll eingesetzt werden kann, sollten folgende Voraussetzungen erfüllt sein:

  • Projekt liegt auf https://gitlab.opencode.de
  • Sie besitzen mindestens die Rolle Maintainer im Projekt
  • Eine funktionierende CI/CD-Pipeline ist vorhanden oder geplant

DevGuard im Projekt aktivieren

Besuchen Sie devguard.opencode.de und navigieren Sie nach der Anmeldung zu ihrem gewünschten Repository. Die Verzeichnisstruktur bildet die bekannte aus GitLab ab.

Wählen Sie das Auto-Setup aus. DevGuard integriert sich nun automatisch.

Nach dem nächsten Pipeline-Lauf werden die Sicherheitsanalysen automatisch durchgeführt.

Info

Die konkrete Konfiguration von DevGuard kann je nach Projekt variieren. Orientieren Sie sich bei Komplizierten Anforderungen an den jeweils aktuellen Vorgaben der Upstream DevGuard-Dokumentation.

Ergebnisse der Sicherheitsanalysen

Nach erfolgreicher Ausführung der Pipeline stehen Ihnen die Ergebnisse:

  • direkt in der GitLab-Pipeline
  • in den zugehörigen Sicherheitsberichten in DevGuard
  • in den Abhängigkeits- und Lizenzanalysen

zur Verfügung.

Gefundene Schwachstellen können nun zeitnah bewertet und behoben werden. Insbesondere bei öffentlich sichtbaren Projekten ist eine zügige Reaktion empfohlen.

Umgang mit Sicherheitslücken

Wenn in Ihrem Projekt eine kritische Sicherheitslücke entdeckt wird:

  • Bewerten Sie die Auswirkung auf Ihr Projekt
  • Priorisieren Sie die Behebung
  • Dokumentieren Sie die Änderung nachvollziehbar im Projekt
  • Informieren Sie ggf. betroffene Nutzer:innen

Für besonders schwerwiegende Sicherheitsvorfälle kann eine koordinierte Offenlegung sinnvoll sein.

Sicherheit als Daueraufgabe

Sicherheit ist kein einmaliger Schritt, sondern ein fortlaufender Prozess:

  • Halten Sie Abhängigkeiten aktuell
  • Prüfen Sie regelmäßig die DevGuard-Berichte
  • Entfernen Sie nicht mehr benötigte Komponenten
  • Dokumentieren Sie sicherheitsrelevante Entscheidungen

Häufig gestellte Fragen

Ist DevGuard verpflichtend?

Die Nutzung von DevGuard wird auf openCode empfohlen, insbesondere für öffentliche Projekte. Je nach organisatorischem Rahmen können verbindliche Vorgaben zum Schwachstellenmanagement bestehen, wofür DevGuard das Werkzeug sein könnte.

Wer sieht die Sicherheitsergebnisse?

Die Ergebnisse sind für Projektmitglieder entsprechend ihrer Rolle einsehbar. Öffentliche Sicherheitsberichte sollten nur nach sorgfältiger Prüfung veröffentlicht werden.

Ersetzt DevGuard eine manuelle Sicherheitsprüfung?

Nein. Automatisierte Analysen sind ein wichtiges Werkzeug, ersetzen jedoch keine fachliche Bewertung durch Entwickler:innen oder Sicherheitsexpert:innen.

Mit der DevGuard-Integration stellt openCode ein zentrales Werkzeug zur Verfügung, um sichere, wartbare und vertrauenswürdige Open-Source-Software bereitzustellen.