Patch Management

Dokumenttyp: Prozess Geltungsbereich: Betriebssystem, Laufzeitumgebung, Abhängigkeiten der PORTA-Plattform Version: 1.0 Status: Entwurf zur internen Freigabe Owner: Betrieb / DevOps Letzte Aktualisierung: 02.06.2026 Deckt ab (CACC): 78

1. Geltungsbereich

Ebene	Beispiel	Patch-Verantwortung
Managed Infrastruktur	VM-Host, PostgreSQL (Infomaniak)	Infomaniak (Managed) + Betrieb
Betriebssystem (Ubuntu)	Sicherheitsupdates	Betrieb
Laufzeit / Python	`requirements.txt`-Abhängigkeiten	Entwicklung/Betrieb
Anwendungsabhängigkeiten	Bibliotheken (z. B. LangChain, SDKs)	Entwicklung

2. Maximale Fristen (#78)

Punkt #78 verlangt definierte Höchstdauern bis zum Einspielen von Patches:

Kritikalität	Beschreibung	Maximale Frist
Kritisch	Aktiv ausgenutzte / kritische Schwachstelle (CVSS ≥ 9)	48 Stunden
Hoch	CVSS 7,0–8,9	7 Tage
Mittel	CVSS 4,0–6,9	30 Tage
Niedrig	CVSS < 4,0	nächstes Wartungsfenster

3. Ablauf

Erkennung: Sicherheitsmeldungen verfolgen (Ubuntu Security, GitHub Dependabot/Advisories, Provider-Statusseiten). [ZU PRÜFEN: Wird Dependabot o. ä. in Forgejo/Repo genutzt?]
Bewertung: Kritikalität einstufen, betroffene Systeme bestimmen.
Test: Patch auf INT-Umgebung (api-int.poweron.swiss) einspielen und verifizieren.
Freigabe & Deployment: Über regulären Change-Prozess (Dok 08); bei kritischen Patches als Emergency-Change.
Dokumentation: Patch, Datum, Version im CHANGELOG/Ticket festhalten.

4. OS- und Abhängigkeits-Updates (technisch)

Abhängigkeiten werden beim Deployment via pip install -r requirements.txt aktualisiert (siehe bcm_runbook.md). OS-Patches: apt-Updates auf den VMs. [ZU PRÜFEN: Automatische Sicherheitsupdates (unattended-upgrades) aktiv?]

5. Stand der Umsetzung / Lücken

Thema	Status	Massnahme
Definierte Patch-Fristen	Neu (dieses Dokument)	Übernehmen
Automatisches Vuln-Tracking (Dependabot)	[ZU PRÜFEN]	Aktivieren
Unattended-Upgrades OS	[ZU PRÜFEN]	Prüfen/aktivieren
Patch-Protokollierung	[ZU PRÜFEN]	Im CHANGELOG mitführen

2.2 KiB Raw Blame History Unescape Escape