Update DK-TSK-2025-01_Overordnede_tekniske_sikkerhetskrav.md #1
Loading…
Add table
Add a link
Reference in a new issue
No description provided.
Delete branch "atluxity-loomio-oppfolging-1"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Clarifications and adjustments based on lessons learned after a workshop.
See also https://forge.hornwitser.no/datakollektivet/systemer/src/branch/main/loomio/docs/avvik.md
@ -79,1 +78,3 @@Kjente sårbarheter skal kunne identifiseres og vurderes, slik at risiko kan prioriteres og håndteres.Operativsystem, programvare og tekniske avhengigheter skal holdes oppdatert med sikkerhetsfikser innen rimelig tid etter publisering.For å kunne identifisere kjente sårbarheter skal det finnes en dokumentert oversikt over OS, programvare og tekniske avhengigheter, inkludert versjoner.Ser ut at det er mulig å oppnå dette med å generere en SBOM file med programvare som syft
@ -83,3 +86,3 @@### 3.3 Vurdering av standardoppsettStandardkonfigurasjoner skal være gjennomgått før produksjonsbruk, for å sikre at de er egnet for formålet og ikke inneholder kjente usikre valg.Standardkonfigurasjoner skal være gjennomgått før produksjonsbruk, for å sikre at de er egnet for formålet og ikke inneholder kjente usikre valg.Sa vi at standardkonfigurasjoner i OS som Debian var noe vi kunne stole på?
@ -94,6 +98,7 @@ for å redusere risiko for menneskelige feil og manglende etterlevelse.### 3.5 EndringshåndteringSom en del av endringshåndtering bør vi ha krav om at endringen er gjennomgått av en annen person enn forfatteren?
Ut fra min erfaring er dette en viktig del av sikkerhetsrutinene for endringer som leveres til produksjon med en CD pipeline. Dette bidrar til at en ondsinnet aktør ikke kan endre systemer om bare en person er hacket. Dette er mest relevant for nettsiden vår. Det er mindre relevant når man har direkte tilgang til en server, men jeg mener det er en fin rutine å ha for kunnskapsdeling.
@ -94,6 +98,7 @@ for å redusere risiko for menneskelige feil og manglende etterlevelse.### 3.5 EndringshåndteringEndringer i systemer, konfigurasjon eller infrastruktur som kan påvirke sikkerhet, skal vurderes før produksjonssetting, for å sikre at etablert sikkerhetsnivå opprettholdes. Vurderingen skal dokumenteres.Eksempel: Beskriv endring og vurdering i et issue eller en pull-request.Vi snakket også om en mal, som Forgejo støtter, man kan fylle ut.
View command line instructions
Checkout
From your project repository, check out a new branch and test the changes.Merge
Merge the changes and update on Forgejo.Warning: The "Autodetect manual merge" setting is not enabled for this repository, you will have to mark this pull request as manually merged afterwards.