Hopps wird eine cloudbasierte Open Source Buchhaltungssoftware mit AI, damit Vereine mehr Zeit für ihre wesentlichen Ziele und Angebote haben und frustrierte Situationen mit der Buchhaltung der Vergangenheit angehören.
Als Entwickler möchte ich sicherstellen, dass Hopps frei von kritischen Sicherheitslücken und Lizenzverletzungen ist, um die Sicherheit und Compliance des Projekts zu gewährleisten.
Akzeptanzkriterien
OWASP Dependency Track
OWASP Dependency Track ist erfolgreich installiert und eingerichtet.
Login erfolgt über GitHub-Authentifizierung.
SBOM-Generierung und Integration
Maven-Builds generieren automatisch eine Software Bill of Materials (SBOM, CycloneDX als XML).
Die generierte SBOM wird als Teil des Build-Prozesses in OWASP Dependency Track hochgeladen.
Node-Builds generieren automatisch eine Software Bill of Materials (SBOM, CycloneDX als XML).
Die generierte SBOM wird als Teil des Build-Prozesses in OWASP Dependency Track hochgeladen.
Sicherheits- und Lizenzrichtlinien
Es gibt mindestens zwei definierte Policies:
Security Policy: Keine Common Vulnerabilities and Exposures (CVEs) mit einer Schweregradbewertung von 7 oder höher dürfen vorhanden sein.
License Policy: Es dürfen keine Lizenzen verwendet werden, die als "non-free" eingestuft sind.
Ergänzende Informationen
@d135-1r43 verfügt über Erfahrung in der Einrichtung und Integration von OWASP Dependency Track und steht als Unterstützung zur Verfügung.
Docker-Builds sind explizit außerhalb des Scopes dieser User Story.
@d135-1r43 Dependency-track haben @98jan und ich eben deployt. Jetzt machen wir noch Github SSO und ich dokumentiere. Die Zugangsdaten liegen schon in unserem vaultwarden. :)
manuelhummler
commented
1 week ago
User Story
Als Entwickler möchte ich sicherstellen, dass Hopps frei von kritischen Sicherheitslücken und Lizenzverletzungen ist, um die Sicherheit und Compliance des Projekts zu gewährleisten.
Akzeptanzkriterien
OWASP Dependency Track
SBOM-Generierung und Integration
Sicherheits- und Lizenzrichtlinien
Ergänzende Informationen