Security Headers

[peggimann]

Wir wollen sicherstellen, dass wir die häufigsten und einfachsten Angriffe auf die Entwickelte Applikation verhindern. Dafür können wir die Security Headers setzen.

Anforderungen

• Die üblichen Security Headers für Puzzle Applikationen sind gesetzt
• Das setzen der Headers ist mit einem entsprechenden Tool getestet.

Hinweise

https://docs.puzzle.ch/qm-guide/latest/security/securityheaders.html#_prinzip https://blog.elmah.io/improving-security-in-asp-net-mvc-using-custom-headers/ https://www.zaproxy.org/docs/docker/baseline-scan/

Akzeptanzkriterien

• [ ] Die Anforderungen sind erfüllt
• [ ] Testing ist implementiert, falls möglich auf der Pipeline

[RandomTannenbaum]

Stand 18.09.2024 Ich habe heute noch das Docker Compose so angepasst, dass es einen HTML-Report generiert wenn man es mit dem ZAP-Profil ausführt und dieses file zum gitignore hinzugefügt. Ausserdem habe ich es so geändert, dass jetzt alle ZAP-Files auch im ZAP-Ordner landen.