-Parsen Gitlab Settings - Berechtigungen (Anzahl, Owner, Maintainer etc.) - Können wir hier ggf. prüfen, wann sich bestimmte Personen zuletzt eingeloggt haben? - Einstellungen Protected Branches - Verwenden von Signed Commits (falls nicht zentral enforced) - Visibility Gesetzt ? - Verwemdig vpm Öaneös (?)
-
Parsen der scm-info.yml
-
Parsen der Gitlab CI File (incl. includes)
- Werden korrekte Includes verwendet (e.g. MOK AP Pipeline Code)
- defectdojo verwendet
- Wird Renovate verwendet?
- Wird Fortify / Whitesource verwendet (oder besser über DefectDojo?)
- Existieren Abbruchbedingungen für Whitesource Findings?
-
Parsen GItlab CI Variables
- ?
-
Parsen Dockerfile
- werden images über digests gepinned (SHOULD): https://candrews.integralblue.com/2023/09/always-use-docker-image-digests/
- wird ein internes Base Image verwendet
- Wird latest verwendet?
-
Parsen repos.gradle
- werden externe Repos verwendet
-
Parsen scm-info.yml
- Ist die Datei vorhanden?
- Stehen die notwendigen Informationen drin
-
Parsen License
- Ist die Datei vorhanden?
- Wird die korrekte Lizenz-Datei verwende?
-
Parsen Repos
- Vorhandensein Code Owner Datei (?)
- Gefährliche Dateien
- Private Keys
- Secrets die nicht aus AWS SM geladen werden?