# Patch Management

**Dokumenttyp:** Prozess
**Geltungsbereich:** Betriebssystem, Laufzeitumgebung, Abhängigkeiten der PORTA-Plattform
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Betrieb / DevOps
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 78

---

## 1. Geltungsbereich

| Ebene | Beispiel | Patch-Verantwortung |
|---|---|---|
| Managed Infrastruktur | VM-Host, PostgreSQL (Infomaniak) | Infomaniak (Managed) + Betrieb |
| Betriebssystem (Ubuntu) | Sicherheitsupdates | Betrieb |
| Laufzeit / Python | `requirements.txt`-Abhängigkeiten | Entwicklung/Betrieb |
| Anwendungsabhängigkeiten | Bibliotheken (z. B. LangChain, SDKs) | Entwicklung |

## 2. Maximale Fristen (#78)

Punkt #78 verlangt definierte Höchstdauern bis zum Einspielen von Patches:

| Kritikalität | Beschreibung | Maximale Frist |
|---|---|---|
| Kritisch | Aktiv ausgenutzte / kritische Schwachstelle (CVSS ≥ 9) | **48 Stunden** |
| Hoch | CVSS 7,0–8,9 | 7 Tage |
| Mittel | CVSS 4,0–6,9 | 30 Tage |
| Niedrig | CVSS < 4,0 | nächstes Wartungsfenster |

## 3. Ablauf

1. **Erkennung:** Sicherheitsmeldungen verfolgen (Ubuntu Security, GitHub Dependabot/Advisories, Provider-Statusseiten). **[ZU PRÜFEN: Wird Dependabot o. ä. in Forgejo/Repo genutzt?]**
2. **Bewertung:** Kritikalität einstufen, betroffene Systeme bestimmen.
3. **Test:** Patch auf INT-Umgebung (`api-int.poweron.swiss`) einspielen und verifizieren.
4. **Freigabe & Deployment:** Über regulären Change-Prozess (Dok 08); bei kritischen Patches als Emergency-Change.
5. **Dokumentation:** Patch, Datum, Version im CHANGELOG/Ticket festhalten.

## 4. OS- und Abhängigkeits-Updates (technisch)

Abhängigkeiten werden beim Deployment via `pip install -r requirements.txt` aktualisiert (siehe `bcm_runbook.md`). OS-Patches: `apt`-Updates auf den VMs via `unattended-upgrades` (aktiv auf allen VMs). Konfiguration: Sicherheitspatches werden automatisch installiert, aber Services werden **nicht** automatisch neugestartet (`needrestart = 'l'`). Der Restart erfolgt kontrolliert beim naechsten Deployment oder manuell bei kritischen Patches.

## 5. Stand der Umsetzung / Lücken

| Thema | Status | Massnahme |
|---|---|---|
| Definierte Patch-Fristen | Neu (dieses Dokument) | Übernehmen |
| Automatisches Vuln-Tracking (Dependabot) | [ZU PRÜFEN] | Aktivieren |
| Unattended-Upgrades OS | ✅ Aktiv | Patches auto-installiert, Service-Restart manuell (`needrestart='l'`) |
| Patch-Protokollierung | [ZU PRÜFEN] | Im CHANGELOG mitführen |