Die Rolle von GitLab bei der Umsetzung des Digital Operational Resilience Act

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die seit dem 16. Januar 2023 in Kraft ist und ab dem 17. Januar 2025 verbindlich wird. In diesem Blogpost geht es darum aufzuzeigen, wie GitLab bei der Erfüllung von regulatorischen Anforderungen unterstützen kann (unter anderem abgeleitet aus Projekterfahrungen).

Intro DORA

DORA markiert einen wichtigen Schritt für die Cybersicherheit und IT-Resilienz in der EU, da sie die digitale Widerstandsfähigkeit des Finanzsektors durch einheitliche Standards stärkt. Dabei liegt der Fokus insbesondere auf dem Thema Risikomanagement von geschäftsrelevanten Informations- und Kommunikationstechnologie-Systemen (zum Beispiel: Abschluss von Versicherungsprodukten). Unternehmen sollten die entsprechenden Risiken kennen und einen Umgang mit diesen planen. Sodass im Falle eines Cyberangriffs oder einer Betriebsstörung die IT weiterhin stabil und funktionsfähig bleibt.

DORA fordert von Unternehmen aus dem regulierten Umfeld eine umfassende Überwachung ihrer IT-Systeme, regelmäßige Sicherheitstests, eine strikte Kontrolle von Risiken durch Drittanbieter sowie den Aufbau von Notfallplänen. Um diesen Anforderungen gerecht zu werden, kann eine Technologieplattform dabei helfen, Themen State-of-the-Art umzusetzen und zu automatisieren. GitLab als DevSecOps-Plattform bietet dafür umfassende Funktionalitäten. Nachfolgend eine exemplarische Auflistung von GitLab-Features, welche bei der Erfüllung von regulatorischen Anforderungen unterstützen können - immer mit dem Fokus auf den Softwareentwicklungszyklus (SDLC).

GitLab Features

Übersicht der GitLab-Features

Security & Compliance

Die DORA-Verordnung legt großen Wert darauf, dass Unternehmen robuste Sicherheitsmaßnahmen etablieren, um die Resilienz und Sicherheit ihrer Systeme zu gewährleisten. Ein zentraler Aspekt dabei ist die regelmäßige Durchführung von Sicherheitsprüfungen und Schwachstellenscans. GitLab bietet eine Reihe von Funktionen, die solche Anforderungen unterstützen und auf die Sicherheits- und Compliance-Standards von regulatorischen Anforderungen einzahlen können. Dadurch erkennen Unternehmen potenzielle Risiken frühzeitig und können proaktiv darauf reagieren.

• Sicherheitsscans: Mit Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST) deckt GitLab potenzielle Schwachstellen sowohl im Quellcode als auch in laufenden Anwendungen auf. SAST prüft den Code statisch, um Sicherheitslücken zu identifizieren, bevor der Code produktiv geht. DAST untersucht die Anwendung in der Testumgebung und erkennt so Schwachstellen, die erst in der laufenden Anwendung sichtbar werden. Gemeinsam bieten diese Tests eine umfassende Sicherheitsprüfung, die Risiken frühzeitig erkennt und minimiert.

• Dependency Scans und Software Composition Analysis (SCA): GitLab bietet Job Templates an, um SCAs durchzuführen. Die gewonnenen Ergebnisse werden gegen eine von GitLab gepflegte Schwachstellen-Datenbank ausgewertet und sichtbar gemacht (beispielsweise in Form von SBOMs). Dadurch wird das Risiko von Bedrohungen durch externe Softwarekomponenten reduziert.

• Secret Detection: GitLab enthält eine Secret-Detection-Funktion, die den Code auf sensible Informationen wie API-Keys, Passwörter und Token durchsucht. Falls solche Daten im Code entdeckt werden, werden die Entwickler darüber informiert - im Idealfall direkt beim Push der Code-Änderungen. Diese Funktion schützt Unternehmen vor potenziellen Datenlecks und unbefugtem Zugriff.

Global Governance

DORA fordert klare und ganzheitliche Maßnahmen. Um diesen Anforderungen (entlang des gesamten SDLC) gerecht zu werden, sind robuste Governance-Strukturen, effektives Risikomanagement und umfassende Sicherheitsprüfungen essenziell. GitLab bietet Features, die Unternehmen dabei unterstützen können, eine stabile und regelkonforme Softwareentwicklung über verschiedene Projekte hinweg zu etablieren und Abweichungen zu erkennen und festzuhalten.

• Policies: Unternehmen können unternehmensweite Sicherheitsrichtlinien festlegen, die sicherstellen, dass alle Softwareprojekte den erforderlichen Sicherheitsstandards entsprechen. Diese Richtlinien werden über den gesamten Entwicklungsprozess hinweg überwacht und umfassen unter anderem Regeln für Sicherheitsscans und Freigabeprozesse (Merge Request Approval Rules). So wird die Einhaltung von Sicherheitsstandards einheitlich durchgesetzt.

• Audit Events: Um den Audit-Prozess zu unterstützen, stellt GitLab Audit Events bereit. Mit diesen lassen sich eine Vielzahl verschiedener Aktivitäten innerhalb von GitLab erfassen - beispielsweise, ob und wer Berechtigungen auf Gruppe-Ebene geändert hat oder wer einen neuen User hinzugefügt oder entfernt hat. Diese Audit-Logs unterstützen Compliance-Teams bei der Erkennung potenzieller Risiken und können an ein Security Information and Event Management System angebunden werden.

• Compliance Frameworks: Mit GitLab lassen sich Compliance-Richtlinien erstellen, die auf die speziellen Anforderungen des Unternehmens zugeschnitten sind. Dadurch kann ein Unternehmen zum Beispiel eine Security Policy definieren, welche als Standard SAST und Secret Detection beinhaltet. Diese Policy wiederum lässt sich einem Compliance Framework zuordnen. Das Resultat ist, dass alle Projekte mit dem entsprechenden Compliance Framework die definierte Security Policy durchlaufen müssen. Dies fördert ein systematisches Risikomanagement, erhöht die Sichtbarkeit und verbessert die Auswertbarkeit, welches Projekt welchen Richtlinien unterliegt.

Vulnerability Management

Um den Anforderungen von DORA gerecht zu werden, ist ein effektives Management von Sicherheitsrisiken, insbesondere solchen aus externen Quellen, unerlässlich. Die Verordnung verlangt eine kontinuierliche Überwachung und Kontrolle von Schwachstellen, die durch Abhängigkeiten und externe Komponenten entstehen können. GitLab bietet verschiedene Features, um Unternehmen in ihrem Vulnerability Management zu unterstützen und potenzielle Sicherheitslücken proaktiv zu erkennen, zu analysieren und zu beheben. Dadurch haben Teams jederzeit einen umfassenden Überblick über den Sicherheitsstatus und können gezielte Maßnahmen ergreifen, um Risiken frühzeitig zu mindern.

• Dashboards: GitLab stellt teamübergreifende Dashboards bereit, die in Echtzeit einen Überblick über Schwachstellen, deren Behebung geben oder auch Abweichungen von Compliance-Standards darstellen. Diese Dashboards ermöglichen eine transparente und zentrale Einsicht in den aktuellen Sicherheitsstatus, sodass alle relevanten Teams, von Dev über IT-Sec bis hin zum Management, stets informiert sind.

• Dependency Scans und Software Composition Analysis (SCA): siehe Security & Compliance.

• GitLab Duo: Die Integration von GitLab Duo (AI-powered GitLab-Features) hilft dabei, schneller und besser auf Schwachstellen reagieren zu können. Entwickler können sich identifizierte Schwachstellen im SDLC genauer erklären und Empfehlungen zur Behebung generieren lassen. So werden Wissenslücken reduziert und ein konsequenter Shift-Left-Security-Ansatz unterstützt.

Fazit

Der Digital Operational Resilience Act stellt hohe Anforderungen an das Risikomanagement und an die IT-Betriebsstabilität im Finanzsektor der EU. GitLab als DevSecOps-Plattform bietet einige Funktionen, um diese regulatorischen Anforderungen effektiv innerhalb des SDLC zu unterstützen. Unternehmen können dadurch ihre Sicherheits- und Compliance-Prozesse im Softwareentwicklungszyklus optimieren, Risiken minimieren und so ihre digitale Resilienz nachhaltig stärken.

Ressourcen

DORA-Verordnung
https://www.bafin.de/DE/Aufsicht/DORA/DORA_node

GitLab Security & Compliance
https://docs.gitlab.com/ee/user/application_security/sast
https://docs.gitlab.com/ee/user/application_security/dast
https://docs.gitlab.com/ee/user/application_security/dependency_scanning
https://docs.gitlab.com/ee/user/application_security/secret_detection

GitLab Global Governance
https://docs.gitlab.com/ee/user/application_security/policies
https://docs.gitlab.com/ee/user/compliance/audit_events
https://docs.gitlab.com/ee/user/group/compliance_frameworks

GitLab Vulnerability Management
https://docs.gitlab.com/ee/user/compliance/compliance_center
https://docs.gitlab.com/ee/user/application_security/security_dashboard
https://docs.gitlab.com/ee/user/application_security/dependency_scanning
https://docs.gitlab.com/ee/user/gitlab_duo