Compliance-Management mit GitLab¶

Veit Schiele

14. Februar 2021

~3 minutes

Ein Compliance-Management-System [1] umfasst alle Maßnahmen, Strukturen und Prozesse, die regelkonform durchgeführt werden sollen. Mit GitLab lässt sich ein Compliance Management realisieren, das sich nahtlos in den Softwareentwicklungsprozess integriert und mit anderen Systemen verbunden werden kann. Dies erleichtert es den Teams, mit den sich ändernden Vorschriften und aufkommenden Risiken Schritt zu halten.

Im Einzelnen unterstützt GitLab

die Verwaltung von Regeln und Richtlinien <policy-management>`
die Automatisierung von Compliance-Workflows <automate-compliance-workflows>`
das Audit-Management, das Aktivitäten protokolliert, Vorfälle identifiziert und die Einhaltung von Regeln nachweist
das Sicherheitsmanagement, das die Sicherheit des Quellcodes überprüft, um Schwachstellen zu verfolgen und zu verwalten (→ DevSecOps)

Verwaltung von Richtlinien¶

Es können Regeln und Richtlinien definiert werden, die befolgt werden müssen, sowohl unternehmensinterne Richtlinien als auch Richtlinien, die auf gesetzlichen oder regulatorischen Rahmenbedingungen wie GDPR, SOC2, PCI-DSS, SOX, HIPAA, ISO, COBIT, FedRAMP usw. basieren. GitLab bietet zu diesem Zweck die folgenden Funktionen:

Fein abgestufte Benutzerrollen und Berechtigungen: GitLab unterstützt fünf verschiedene Rollen mit unterschiedlichen Berechtigungen.
Compliance-Einstellungen: Für verschiedene Projekte können unterschiedliche Compliance-Richtlinien festgelegt werden.
Inventarisierung: Alle Aktionen werden inventarisiert.

Automatisierung von Compliance-Arbeitsabläufen¶

Sobald die Richtlinien und Regeln festgelegt sind, können die Prozesse automatisiert werden, z. B. durch

Projektvorlagen: Es können Projektvorlagen mit spezifischen Prüfprotokollen und Prüfpfaden, z. B. für HIPAA, erstellt werden.
Projektlabel: Je nach Richtlinie können verschiedene Label für Projekte und Aufgaben vordefiniert werden.