Compliance Management mit Gitlab

erstellt von Veit Schiele zuletzt geändert 2021-02-14T20:40:18+02:00
Ein Compliance Management System umfasst alle Maßnahmen, Strukturen und Prozesse, die regelkonform ausgeführt werden sollen. Mit GitLab lässt sich ein Compliance Management realisieren, das sich nahtlos in den Software-Entwicklungsprozess integriert und mit anderen Systemen verbunden werden kann. Dies erleichtert Teams, mit den sich ändernden Vorschriften und aufkommenden Risiken Schritt zu halten.

Im Einzelnen unterstützt GitLab

  • durch die Verwaltung von Regeln und Richtlinien
  • durch die Automatisierung von Compliance-Workflows
  • durch ein Audit-Management, das Aktivitäten protokolliert, Vorfälle identifiziert und die Einhaltung der Compliance-Regeln nachweist
  • durch ein Security-Management, das die Sicherheit des Quellcodes überprüft um Schwachstellen nachzuverfolgen und zu verwalten (→ DevSecOps).

Richtlinienverwaltung

Einzuhaltende Regeln und Richtlinien können definiert werden, sowohl interne Unternehmensrichtlinien als auch auf rechtlichen oder regulatorischen Rahmenbedingungen beruhende Richtlinien wie DSGVO, SOC2, PCI-DSS, SOX, HIPAA, ISO, COBIT, FedRAMP usw. GitLab stellt hierfür folgende Funktionen zur Verfügung:

Feingranulare Benutzerrollen und Berechtigungen
GitLab unterstützt fünf verschiedene Rollen mit unterschiedlichen Berechtigungen
Compliance-Einstellungen
Für verschiedene Projekte können unterschiedliche Compliance-Richtlinien festgelegt werden.
Inventar
Alle Aktionen werden inventarisiert.

Automatisieren der Compliance-Workflows

Sobald die Richtlinien und Regeln festgelegt sind, können die Prozesse automatisiert werden, z.B. durch

Projektvorlagen
Projektvorlagen mit bestimmten Prüfprotokollen und Prüfpfaden, wie z.B. bei HIPAA, können erstellt werden.
Projekt-Label
Je nach Richtlinie lassen sich unterschiedlich Label für Projekte und Aufgaben vordefinieren.

Audit-Management

Compliance-Audits erfordern die Nachvollziehbarkeit verschiedener Ereignisse wie z.B. Benutzeraktionen, Änderungen an den Berechtigungen oder Genehmigungen.


[1]ISO 19600:2014 Compliance management systems — Guidelines