Technische Zugangsvoraussetzungen
Hinweis: Die Secure Government Container Initiative befindet sich derzeit im Aufbau. Formate, Richtlinien und Strukturen können sich noch ändern, da wir sie gemeinsam mit der Community weiterentwickeln. Wir freuen uns über Feedback und Beteiligung – schauen Sie gerne in den Open Community Sessions vorbei oder abonnieren Sie den Newsletter, um auf dem Laufenden zu bleiben.
Diese Referenz beschreibt die verbindlichen technischen Anforderungen, die ein Container-Image erfüllen muss, um auf container.gov.de gelistet zu werden. Die Anforderungen werden automatisch geprüft – Images, die nicht konform sind, werden nicht gelistet oder entfernt.
Anforderungsübersicht
| Anforderung | Status |
|---|---|
| VEX-Attestierung vorhanden | Pflicht |
| Critical CVEs bewertet | Pflicht |
| High CVEs bewertet | Pflicht |
| Open Source unter freigebener Lizenz | Pflicht |
| SBOM-Attestierung vorhanden | Empfohlen |
| Härtungs-Checkliste eingehalten | Empfohlen |
Pflichtanforderungen
1. VEX-Attestierung vorhanden
Jedes Container-Image muss ein Vulnerability Exploitability Exchange (VEX)-Dokument als Container-Attestierung enthalten (in-toto attestation).
Die VEX-Attestierung muss folgenden Predicate-Type verwenden:
https://cyclonedx.org/vexDiese Attestierung stellt maschinenlesbare Informationen darüber bereit, welche Schwachstellen das Image betreffen und wie mit ihnen umgegangen wurde.
2. Alle kritischen und hohen CVEs müssen behandelt sein
Das Image muss frei von unbehandeleten bekannten Schwachstellen der Schweregrade Critical und High (gemäß CVSS) sein.
Eine Schwachstelle gilt als bewertet, wenn sie in der VEX einen der folgenden Zustände hat:
| Zustand | Beschreibung |
|---|---|
| Resolved | Die Schwachstelle wurde behoben |
| False Positive | Die Schwachstelle betrifft das Image tatsächlich nicht (z.B. der anfällige Code-Pfad ist nicht erreichbar) |
| Not Affected | Die anfällige Komponente wird nicht auf eine Weise verwendet, die die Schwachstelle ausnutzbar macht |
| Exploitable | Das Risiko wurde anerkannt und mit dokumentierter Begründung akzeptiert |
Wichtig: Schwachstellen im Zustand
in_triagegelten als unbewertet. Alle CVEs der Schweregrade Critical und High müssen explizit bewertet sein, bevor das Image gelistet werden kann.
3. Compliance-Policy
Die automatisierte Compliance-Prüfung setzt folgende Regel durch: container.gov.de.rego
Vereinfacht: Keine CVEs der Schweregrade Critical oder High dürfen im Zustand in_triage verbleiben. Jede solche Schwachstelle muss mit einer dokumentierten Entscheidung explizit bewertet werden.