PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/Prozesse/legal/09_Patch_Management.md
Stephan Schellworth 9f5f8bfc11 Add e-compliance processes and PowerOn AG documentation. 
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG
stammdaten, and internal legal and best-practice analysis report.

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-03 08:50:34 +02:00

52 lines
2.2 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Patch Management
**Dokumenttyp:** Prozess
**Geltungsbereich:** Betriebssystem, Laufzeitumgebung, Abhängigkeiten der PORTA-Plattform
**Version:** 1.0
**Status:** Entwurf zur internen Freigabe
**Owner:** Betrieb / DevOps
**Letzte Aktualisierung:** 02.06.2026
**Deckt ab (CACC):** 78
---
## 1. Geltungsbereich
| Ebene | Beispiel | Patch-Verantwortung |
|---|---|---|
| Managed Infrastruktur | VM-Host, PostgreSQL (Infomaniak) | Infomaniak (Managed) + Betrieb |
| Betriebssystem (Ubuntu) | Sicherheitsupdates | Betrieb |
| Laufzeit / Python | `requirements.txt`-Abhängigkeiten | Entwicklung/Betrieb |
| Anwendungsabhängigkeiten | Bibliotheken (z. B. LangChain, SDKs) | Entwicklung |
## 2. Maximale Fristen (#78)
Punkt #78 verlangt definierte Höchstdauern bis zum Einspielen von Patches:
| Kritikalität | Beschreibung | Maximale Frist |
|---|---|---|
| Kritisch | Aktiv ausgenutzte / kritische Schwachstelle (CVSS ≥ 9) | **48 Stunden** |
| Hoch | CVSS 7,08,9 | 7 Tage |
| Mittel | CVSS 4,06,9 | 30 Tage |
| Niedrig | CVSS < 4,0 | nächstes Wartungsfenster |
## 3. Ablauf
1. **Erkennung:** Sicherheitsmeldungen verfolgen (Ubuntu Security, GitHub Dependabot/Advisories, Provider-Statusseiten). **[ZU PRÜFEN: Wird Dependabot o. ä. in Forgejo/Repo genutzt?]**
2. **Bewertung:** Kritikalität einstufen, betroffene Systeme bestimmen.
3. **Test:** Patch auf INT-Umgebung (`api-int.poweron.swiss`) einspielen und verifizieren.
4. **Freigabe & Deployment:** Über regulären Change-Prozess (Dok 08); bei kritischen Patches als Emergency-Change.
5. **Dokumentation:** Patch, Datum, Version im CHANGELOG/Ticket festhalten.
## 4. OS- und Abhängigkeits-Updates (technisch)
Abhängigkeiten werden beim Deployment via `pip install -r requirements.txt` aktualisiert (siehe `bcm_runbook.md`). OS-Patches: `apt`-Updates auf den VMs. **[ZU PRÜFEN: Automatische Sicherheitsupdates (unattended-upgrades) aktiv?]**
## 5. Stand der Umsetzung / Lücken
| Thema | Status | Massnahme |
|---|---|---|
| Definierte Patch-Fristen | Neu (dieses Dokument) | Übernehmen |
| Automatisches Vuln-Tracking (Dependabot) | [ZU PRÜFEN] | Aktivieren |
| Unattended-Upgrades OS | [ZU PRÜFEN] | Prüfen/aktivieren |
| Patch-Protokollierung | [ZU PRÜFEN] | Im CHANGELOG mitführen |
Reference in a new issue View git blame Copy permalink