52 lines
2.5 KiB
Markdown
52 lines
2.5 KiB
Markdown
# Patch Management
|
||
|
||
**Dokumenttyp:** Prozess
|
||
**Geltungsbereich:** Betriebssystem, Laufzeitumgebung, Abhängigkeiten der PORTA-Plattform
|
||
**Version:** 1.0
|
||
**Status:** Entwurf zur internen Freigabe
|
||
**Owner:** Betrieb / DevOps
|
||
**Letzte Aktualisierung:** 02.06.2026
|
||
**Deckt ab (CACC):** 78
|
||
|
||
---
|
||
|
||
## 1. Geltungsbereich
|
||
|
||
| Ebene | Beispiel | Patch-Verantwortung |
|
||
|---|---|---|
|
||
| Managed Infrastruktur | VM-Host, PostgreSQL (Infomaniak) | Infomaniak (Managed) + Betrieb |
|
||
| Betriebssystem (Ubuntu) | Sicherheitsupdates | Betrieb |
|
||
| Laufzeit / Python | `requirements.txt`-Abhängigkeiten | Entwicklung/Betrieb |
|
||
| Anwendungsabhängigkeiten | Bibliotheken (z. B. LangChain, SDKs) | Entwicklung |
|
||
|
||
## 2. Maximale Fristen (#78)
|
||
|
||
Punkt #78 verlangt definierte Höchstdauern bis zum Einspielen von Patches:
|
||
|
||
| Kritikalität | Beschreibung | Maximale Frist |
|
||
|---|---|---|
|
||
| Kritisch | Aktiv ausgenutzte / kritische Schwachstelle (CVSS ≥ 9) | **48 Stunden** |
|
||
| Hoch | CVSS 7,0–8,9 | 7 Tage |
|
||
| Mittel | CVSS 4,0–6,9 | 30 Tage |
|
||
| Niedrig | CVSS < 4,0 | nächstes Wartungsfenster |
|
||
|
||
## 3. Ablauf
|
||
|
||
1. **Erkennung:** Sicherheitsmeldungen verfolgen (Ubuntu Security, GitHub Dependabot/Advisories, Provider-Statusseiten). **[ZU PRÜFEN: Wird Dependabot o. ä. in Forgejo/Repo genutzt?]**
|
||
2. **Bewertung:** Kritikalität einstufen, betroffene Systeme bestimmen.
|
||
3. **Test:** Patch auf INT-Umgebung (`api-int.poweron.swiss`) einspielen und verifizieren.
|
||
4. **Freigabe & Deployment:** Über regulären Change-Prozess (Dok 08); bei kritischen Patches als Emergency-Change.
|
||
5. **Dokumentation:** Patch, Datum, Version im CHANGELOG/Ticket festhalten.
|
||
|
||
## 4. OS- und Abhängigkeits-Updates (technisch)
|
||
|
||
Abhängigkeiten werden beim Deployment via `pip install -r requirements.txt` aktualisiert (siehe `bcm_runbook.md`). OS-Patches: `apt`-Updates auf den VMs via `unattended-upgrades` (aktiv auf allen VMs). Konfiguration: Sicherheitspatches werden automatisch installiert, aber Services werden **nicht** automatisch neugestartet (`needrestart = 'l'`). Der Restart erfolgt kontrolliert beim naechsten Deployment oder manuell bei kritischen Patches.
|
||
|
||
## 5. Stand der Umsetzung / Lücken
|
||
|
||
| Thema | Status | Massnahme |
|
||
|---|---|---|
|
||
| Definierte Patch-Fristen | Neu (dieses Dokument) | Übernehmen |
|
||
| Automatisches Vuln-Tracking (Dependabot) | [ZU PRÜFEN] | Aktivieren |
|
||
| Unattended-Upgrades OS | ✅ Aktiv | Patches auto-installiert, Service-Restart manuell (`needrestart='l'`) |
|
||
| Patch-Protokollierung | [ZU PRÜFEN] | Im CHANGELOG mitführen |
|