Direkt zum Inhalt

Minimieren Sie Sicherheitsrisiken

Vertriebsteam Kontaktieren
Kostenlos Testen

Seitensuche

Print

Minimieren Sie Sicherheitsrisiken

Bei Governance geht es darum, den Wert mit einem akzeptablen Risiko zu optimieren, abhängig von Ihrer Risikotoleranz. Sicherheitsrisiko ist eine der Kategorien in der Mendix Governance-Werterahmen. Bei der Minderung von Sicherheitsrisiken geht es darum, sicherzustellen, dass Ihre Landschaft keine bekannten Schwachstellen aufweist und die Richtlinien einhält, um Ihre Software auf dem neuesten Stand zu halten.

Wer ist der Standardansprechpartner für Benachrichtigungen zu kritischen Sicherheitsproblemen?

Sie können einen Sicherheitskontakt zuweisen für die Mendix Plattform in Control CenterControl Center ist das wichtigste übergeordnete Tool zur Verwaltung und Steuerung einer App-Landschaft. Mendix Administratoren haben Zugriff auf das Control Center. Sie können einen bestimmten Sicherheitskontakt benennen, der informiert wird, wenn es kritische Sicherheitsprobleme mit dem Mendix Plattform und plattformgestützte Marketplace-Komponenten. Mendix empfiehlt dringend, anstelle einer persönlichen Einzel-E-Mail-Adresse eine Team-E-Mail-Adresse oder ein Funktionspostfach zu verwenden.

Wie kann die Benutzeraktivität der Plattform in der gesamten App-Landschaft geprüft werden?

Auf der Seite „Sicherheit“ im Control Center bietet die Registerkarte „Sicherheitsverlauf“ einen Prüfpfad der sicherheitsrelevanten Änderungen, die an Projekten und Mitgliedskonten in Ihrem Unternehmen vorgenommen wurden. Diese können mithilfe von Such- und Filterfunktionen in der Plattform einfach geprüft oder in Excel exportiert werden.

Wie kann der ein- und ausgehende Datenverkehr meiner Apps überwacht werden, um ihre Sicherheit zu gewährleisten?

Erstens Mendix schützt bösartigen Internetverkehr vor Mendix Apps sofort über Web Application Firewall (WAF)-Regeln. WAF ist ein Sicherheitsdienst, der Anwendungen vor bösartigem und unerwünschtem Internetverkehr schützt, ohne den Anwendungscode zu ändern. WAF befasst sich mit verschiedenen Angriffskategorien, darunter viele hochriskante und häufig auftretende Schwachstellen, die in OWASP-Veröffentlichungen beschrieben werden, wie z. B. OWASP Top 10.

Zusätzlich zum oben genannten, Mendix bietet eine umfassende Protokollierung der Anwendung und des Zugriffs. Mit letzterem lässt sich feststellen, von wo aus auf die Apps zugegriffen wird. Diese detaillierten Protokolle können Sie über den Mendix Portal.

Welche Sicherheit wird beim API-Zugriff auf die Plattform gewährleistet?

Mendix bietet Ihnen verschiedene APIs für den Zugriff auf die Öffentlichkeit Mendix Plattform. Diese APIs sind gesichert durch entweder API-Schlüssel oder Personal Access Tokens (PAT). Beide Mechanismen ermöglichen es Clients wie einer CI/CD-Pipeline, die Plattform-APIs im Namen des Plattformbenutzers zu verwenden, der das Token erstellt hat, und dabei die Berechtigungsbeschränkungen des Benutzers anzuwenden.

Der Vorteil von PATs gegenüber API-Schlüsseln besteht darin, dass der Plattformbenutzer den Umfang des delegierten Zugriffs auf bestimmte APIs einschränken kann, indem er bei der Erstellung des PATs sogenannte „Bereiche“ auswählt. API-Schlüssel und PATs können nicht mehr verwendet werden, wenn der Benutzer, der sie erstellt hat, deaktiviert wurde. Dies trägt zu Ihrem Ziel bei, eine kurze „Zugriffsentfernungszeit“ für Ihren Joiners/Movers/Leavers-Prozess zu haben.

Weitere Informationen finden Sie im Sicherheit dieses Evaluierungsleitfadens.

Wie werden Sicherheitshinweise generiert und veröffentlicht von Mendix?

Mendix veröffentlicht Sicherheitshinweise on Mendix-eigene Komponenten durch Nutzung Siemens ProduktCERT, ein engagiertes Team von Sicherheitsexperten, das den Empfang, die Untersuchung, die interne Koordination und die öffentliche Berichterstattung von Sicherheitsproblemen im Zusammenhang mit verwaltet Siemens Produkte, Lösungen und Dienstleistungen.

Mendix fügt den CVSS-Score und den CVSS-Vektor für Sicherheitslücken hinzu, die in den Versionshinweisen zu Studio Pro beschrieben sind. Mendix fügt außerdem die Mendix-spezifische CVE-IDs, sobald diese verfügbar sind. Die Sicherheitshinweise sind in der Dokumentation, über einen RSS-Feed-Abonnement sowie in Schwachstellendatenbanken wie NVD verfügbar.

Wie können die Auswirkungen von Sicherheitslücken in der gesamten App-Landschaft beurteilt werden?

Log4j-ähnlich Es können kritische Sicherheitslücken auftreten. Mit der Software Composition-Sichtbarkeit über die gesamte Anwendungslandschaft hinweg können Sie die Anwendungsumgebungen mit einer anfälligen Komponente ermitteln, um den Auswirkungsradius einfach einschätzen zu können. Die technischen Kontakte der betroffenen Anwendung können benachrichtigt und gebeten werden, die Sicherheitslücke zu beheben. In der Zwischenzeit können die Administratoren die Verwendung der Komponente weiterhin überwachen, bis alle Anwendungen die erforderlichen Korrekturen oder Upgrades vorgenommen haben.

Kann ich Static Application Security Testing (SAST)-Tools von Drittanbietern verwenden, um Mendix Apps?

Mendix bietet sofort einsatzbereites Qualitäts- und Sicherheitsmanagement (QSM) für statische Anwendungssicherheitstests. QSM bietet einen umfassenden Einblick in die Open Source-Integrität einer Anwendung. Mendix ermöglicht Ihnen auch, bestimmte Tools von Drittanbietern für SAST-Scanzwecke zu verwenden; Kunden führen heutzutage SAST auch über Tools wie Snyk, VeraCode und SonarCube durch.

Wählen Sie Ihre Sprache