A.8 Technologische Maßnahmen
Zugang zum Quellcode
Der Lese- und Schreibzugriff auf Quellcode, Entwicklungswerkzeuge und Softwarebibliotheken muss angemessen verwaltet werden.
Was fordert dieses Control?
Der Lese- und Schreibzugriff auf Quellcode, Entwicklungswerkzeuge und Softwarebibliotheken muss angemessen verwaltet werden.
Warum ist das wichtig?
Quellcode ist geistiges Eigentum und kann Schwachstellen oder Geheimnisse enthalten. Unkontrollierter Zugriff ermöglicht Diebstahl und das Einschleusen von Schadcode.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| TISAX | 5.2.4 | Direkt |
| BSI | CON.8 | Direkt |
Was der Auditor erwartet
- 1Zugriffskontrolle auf Code-Repositories
- 2Schutz vor unbefugten Änderungen am Code
- 3Verwaltung von Build- und Bibliotheks-Zugriffen
Audit-Checkliste
Dokumente
Zugriffsregeln Quellcode
Wer Lese-/Schreibzugriff auf Repositories hat
Nachweise
Repository-Berechtigungen
Tatsächliche Rechte und Branch-Protection
Technisch
Versionsverwaltung
Zugriffskontrolle, Reviews und Protokollierung
Praxis-Tipps zur Umsetzung
Least Privilege im Repo
Schreibrechte nur für die, die sie brauchen, mit Branch-Protection.
Reviews erzwingen
Änderungen nur über Pull Requests mit Vier-Augen-Prinzip.
Secrets fernhalten
Keine Zugangsdaten im Code, Secret-Scanning aktivieren.
Häufige Fehler
Alle haben Schreibrechte
Jeder kann direkt in den Hauptzweig pushen.
Secrets im Repo
Passwörter und Schlüssel landen im Quellcode.
Häufig gestellte Fragen
Gilt das auch für Open-Source-Nutzung?
Ja, der Zugriff auf eingebundene Bibliotheken und deren Integrität ist ebenfalls zu steuern.
Wie schützt man den Hauptzweig?
Über Branch-Protection, erzwungene Reviews und eingeschränkte Schreibrechte.
Was tun gegen Secrets im Code?
Secret-Scanning, Pre-Commit-Hooks und ein zentrales Secret-Management einsetzen.
So hilft CompliantDesk bei A.8.4
Dokumentieren Sie Quellcode-Zugriffsregeln als Kontrolle und verknüpfen Sie sie mit Ihrem sicheren Entwicklungsprozess.