PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/Prozesse/legal/09_Patch_Management.md
Stephan Schellworth 9f5f8bfc11 Add e-compliance processes and PowerOn AG documentation. 
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG
stammdaten, and internal legal and best-practice analysis report.

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-03 08:50:34 +02:00

2.2 KiB
Raw Blame History

Patch Management

Dokumenttyp: Prozess Geltungsbereich: Betriebssystem, Laufzeitumgebung, Abhängigkeiten der PORTA-Plattform Version: 1.0 Status: Entwurf zur internen Freigabe Owner: Betrieb / DevOps Letzte Aktualisierung: 02.06.2026 Deckt ab (CACC): 78

1. Geltungsbereich

Ebene Beispiel Patch-Verantwortung
Managed Infrastruktur VM-Host, PostgreSQL (Infomaniak) Infomaniak (Managed) + Betrieb
Betriebssystem (Ubuntu) Sicherheitsupdates Betrieb
Laufzeit / Python requirements.txt-Abhängigkeiten Entwicklung/Betrieb
Anwendungsabhängigkeiten Bibliotheken (z. B. LangChain, SDKs) Entwicklung

2. Maximale Fristen (#78)

Punkt #78 verlangt definierte Höchstdauern bis zum Einspielen von Patches:

Kritikalität Beschreibung Maximale Frist
Kritisch Aktiv ausgenutzte / kritische Schwachstelle (CVSS ≥ 9) 48 Stunden
Hoch CVSS 7,08,9 7 Tage
Mittel CVSS 4,06,9 30 Tage
Niedrig CVSS < 4,0 nächstes Wartungsfenster

3. Ablauf

  1. Erkennung: Sicherheitsmeldungen verfolgen (Ubuntu Security, GitHub Dependabot/Advisories, Provider-Statusseiten). [ZU PRÜFEN: Wird Dependabot o. ä. in Forgejo/Repo genutzt?]
  2. Bewertung: Kritikalität einstufen, betroffene Systeme bestimmen.
  3. Test: Patch auf INT-Umgebung (api-int.poweron.swiss) einspielen und verifizieren.
  4. Freigabe & Deployment: Über regulären Change-Prozess (Dok 08); bei kritischen Patches als Emergency-Change.
  5. Dokumentation: Patch, Datum, Version im CHANGELOG/Ticket festhalten.

4. OS- und Abhängigkeits-Updates (technisch)

Abhängigkeiten werden beim Deployment via pip install -r requirements.txt aktualisiert (siehe bcm_runbook.md). OS-Patches: apt-Updates auf den VMs. [ZU PRÜFEN: Automatische Sicherheitsupdates (unattended-upgrades) aktiv?]

5. Stand der Umsetzung / Lücken

Thema Status Massnahme
Definierte Patch-Fristen Neu (dieses Dokument) Übernehmen
Automatisches Vuln-Tracking (Dependabot) [ZU PRÜFEN] Aktivieren
Unattended-Upgrades OS [ZU PRÜFEN] Prüfen/aktivieren
Patch-Protokollierung [ZU PRÜFEN] Im CHANGELOG mitführen