Keine Bearbeitungszusammenfassung |
|||
| Zeile 1: | Zeile 1: | ||
Hier erklären wir Ihnen die konzeptionellen Grundlagen der BlueSpice Softwareentwicklung und erläutern zentrale Verfahren, mit denen Hallo Welt! Sicherheit und Zuverlässigkeit in der Softwareentwicklung gewährleistet. | |||
== Prinzipien der Softwareentwicklung == | == Prinzipien der Softwareentwicklung == | ||
Die Softwareentwicklung von BlueSpice basiert auf einer Reihe wichtiger Prinzipien: | Die Softwareentwicklung von BlueSpice basiert auf einer Reihe wichtiger Prinzipien: | ||
| Zeile 5: | Zeile 7: | ||
* '''<span class="ve-pasteProtect">Security-by-Default</span>'''<span class="ve-pasteProtect">:</span> Alle relevanten Sicherheitseinstellungen sind bereits in der Grundkonfiguration der Software und unserer Services aktiviert. | * '''<span class="ve-pasteProtect">Security-by-Default</span>'''<span class="ve-pasteProtect">:</span> Alle relevanten Sicherheitseinstellungen sind bereits in der Grundkonfiguration der Software und unserer Services aktiviert. | ||
* <span class="ve-pasteProtect">'''Herstellerunabhängigkeit'''</span> durch Open-Source-Entwicklung: Hallo Welt! ist zwar alleiniger Hersteller der Softwaredistribution BlueSpice, der von Hallo Welt! produzierte Code wird jedoch unter aktiver Beteiligung der der MediaWiki-Community in den <span class="ve-pasteProtect">öffentlichen Repositories</span> der [https://wikimediafoundation.org/de/ Wikimedia Foundation] entwickelt und ist somit frei zugänglich. Damit ist sichergestellt, dass der Support für die Nutzer der Software nicht nur durch Hallo Welt!, sondern auch durch andere Dienstleister geleistet werden kann (Vermeidung eines Lock-in-Effekts). | * <span class="ve-pasteProtect">'''Herstellerunabhängigkeit'''</span> durch Open-Source-Entwicklung: Hallo Welt! ist zwar alleiniger Hersteller der Softwaredistribution BlueSpice, der von Hallo Welt! produzierte Code wird jedoch unter aktiver Beteiligung der der MediaWiki-Community in den <span class="ve-pasteProtect">öffentlichen Repositories</span> der [https://wikimediafoundation.org/de/ Wikimedia Foundation] entwickelt und ist somit frei zugänglich. Damit ist sichergestellt, dass der Support für die Nutzer der Software nicht nur durch Hallo Welt!, sondern auch durch andere Dienstleister geleistet werden kann (Vermeidung eines Lock-in-Effekts). | ||
* ''' | * '''Verwendung quelloffener Standards, Technologien und Formate''': Hallo Welt! setzt auf offene Standards, die besonders leicht zugänglich, erweiterbar und einsetzbar sind. Die notwendige Server-Infrastruktur kann vollständig mit Open-Source-Software bereitgestellt werden (z.B. Linux-Betriebssysteme oder MariaDB als Datenbanksystem). Die Software BlueSpice basiert auf und nutzt verschiedene offene Standards (z.B. TLS, TCP/IP, IPv6 als Netzwerkprotokoll für die Kommunikation, sowie HTML, JavaScript, CSS und XML für die Darstellung und Funktion). <br />Es verwendet standardisierte Zeichensätze und Kodierungen und unterstützt die Verwendung offener Formate wie PNG, Ogg, SVG, CSV oder MathML. Und natürlich unterstützt BlueSpice einheitliche Standards zur Beschreibung von Metadaten wie RDF. | ||
* '''Sichere Verschlüsselungsverfahren auf | * '''Sichere Verschlüsselungsverfahren auf Basis von Industriestandards''': Hier wird z.B. die Kommunikation zwischen Anwendung und Benutzer durch TLS abgesichert und Passwörter durch Hashing sicher in der Datenbank gespeichert. Für die Benutzerauthentifizierung kann auf bewährte Standards wie SAML oder OpenID Connect zurückgegriffen werden. | ||
* | * '''Modularität''': Die Software ist modular und objektorientiert aufgebaut. Einzelne Funktionen können bei Bedarf deaktiviert und individuelle Anforderungen einfach umgesetzt werden. Auch kompatible Erweiterungen aus dem MediaWiki-Ökosystem, die nicht direkt Bestandteil von BlueSpice sind, können bei Bedarf nachinstalliert werden (On Premises). | ||
* | * '''Interoperabilität''': BlueSpice stellt verschiedene Schnittstellen sowie Import- und Exportfunktionen zur Verfügung, um die Wiki-Software mit anderen Systemen zu verbinden. Über eine gut dokumentierte Web API (u.a. REST) können Aufgaben automatisiert und der Datenaustausch zwischen verschiedenen internen IT-Systemen realisiert werden. Ein einfaches XML-basiertes Datenformat ermöglicht den Im- und Export von Wiki-Seiteninhalten und eignet sich z.B. für die Migration bestehender Dokumentenbestände. Darüber hinaus stehen verschiedene Authentifizierungssysteme (Active Directory/LDAP, SAML, Open ID Connect) zur Auswahl, die eine nahtlose Integration von BlueSpice in die eigene IT-Infrastruktur ermöglichen. | ||
Siehe auch: | |||
* Verena Hösl: [https://www.youtube.com/watch?v=fPtDYvwhoDE BlueSpice Produktentwicklung –von der Planung bis zur Dokumentation], BlueSpice Summit 2022. | * Verena Hösl: [https://www.youtube.com/watch?v=fPtDYvwhoDE BlueSpice Produktentwicklung –von der Planung bis zur Dokumentation], BlueSpice Summit 2022. | ||
* Open Source Business Alliance: [https://osb-alliance.de/featured/sicherheit-open-source-software-und-proprietaere-software-im-vergleich Sicherheit: Open Source Software und proprietäre Software im Vergleich], 21. Juni 2022. | * Open Source Business Alliance: [https://osb-alliance.de/featured/sicherheit-open-source-software-und-proprietaere-software-im-vergleich Sicherheit: Open Source Software und proprietäre Software im Vergleich], 21. Juni 2022. | ||
==Kontinuierliche Dokumentation== | |||
Eine gute Dokumentation ist für die Nutzung und Weiterentwicklung einer Software essentiell. Der zentrale Ort für die Dokumentation der Software und ihrer Anwendung ist das [[:de:Hauptseite|'''BlueSpice Helpdesk-Wik'''i]], in dem Sie sich gerade befinden. Es ist die zentrale Anlaufstelle für Anwender, Administratoren und Entwickler. Dort stellen wir zentral und immer aktuell folgende Dokumente bereit: | |||
*[[:de:Setup:Systemanforderungen|Systemanforderungen]] | |||
*[[:de:Setup:Installationsanleitung|Installationsanleitung]] | |||
*[[:de:Setup:Softwarekatalog|Softwarekatalog]]: Umfang des aktuellen Releases | |||
*[[:de:Setup:Releasehistorie|Releasehistorie]]: Beschreibung und Release Notes der verschiedenen BlueSpice Versionen | |||
*[[:de:Kategorie:Extension|Die Referenzen aller Erweiterungen]]: Beschreibung der Funktion, technische Informationen (z.B. Abhängigkeiten, Konfigurationsmöglichkeiten, API Modules und Hooks) | |||
*Ferner findet man dort auch Anwenderhandbücher: | |||
**[[:de:Handbuch:Benutzerhandbuch_Einführung|Benutzerhandbuch]] | |||
**[[:de:Handbuch:Adminhandbuch_Einführung|Adminhandbuch]] | |||
*[[:de:Setup:BlueSpice_Betriebshandbuch|BlueSpice Betriebshandbuch]] u.a. mit Diagrammen zur Architektur. | |||
==Benutzerauthentifizierung, Verschlüsselung und kryptografische Verfahren== | |||
Der Schutz von Datenbeständen, Nachrichten oder Übertragungskanälen ist angesichts der verschärften Bedrohungslage durch Cyber-Angriffe eine zentrale Aufgabe für Softwarehersteller. BlueSpice unterstützt den Datenschutz und die Informationssicherheit durch entsprechende Funktionen. Die wichtigsten sind auf der Seite [https://wiki.hallowelt.com/wiki/BlueSpice/Trust_and_Safety/Datenschutz_und_Informationssicherheit Datenschutz und Informationssicherheit] aufgeführt. | |||
BlueSpice verfügt über wichtige Funktionen, die den Erfolg eines externen Angriffs deutlich erschweren. Dazu gehören Standardfunktionen wie Authentifizierungsverfahren, ein anpassbares Rechtemanagement oder die Stand-alone-Fähigkeit der Software (siehe hierzu : [[Info:Trust and Safety/Datenschutz und Informationssicherheit|Datenschutz und Informationssicherheit]]). | |||
*'''Single Sign-on-Protokolle (SSO)''' - BlueSpice verwendet zur Absicherung der Authentifizierung Standard-Verfahren: | |||
**SAML 2.0 und OAuth 2.0 Bearer Token werden vollständig unterstützt. | |||
**Open ID Connect (OIDC) kann unterstützt werden. | |||
**Eine Alternative ist Kerberos. | |||
*'''Passwort Policy''' - In BlueSpice ist eine Passwort-Policy eingerichtet und kann angepasst werden. Die wichtigsten Funktionen und Möglichkeiten im Überblick: | |||
**Passwörter werden bei der Eingabe verborgen: ja | |||
**Mindestlänge: 10 (konfigurierbar) | |||
**Enthält alphanumerische Zeichen (Großbuchstaben, Kleinbuchstaben, numerische Zeichen) und Symbole (konfigurierbar) | |||
**Maximal ungültige Versuche: 5 (konfigurierbar) | |||
**Dauer der Sperre: 5 min (konfigurierbar) | |||
**Passwortänderungsintervall (Anzahl der Tage, bevor das System den Nutzer zwingt, das Passwort zu ändern): keine (konfigurierbar) | |||
**Min. Tage vor Passwortänderung erlaubt: leider nicht möglich | |||
**Passworthistorie: leider nicht nicht möglich | |||
**Sperren inaktiver Kennungen: über UserManager möglich | |||
**Löschen inaktiver IDs: über Serverskript möglich | |||
*'''Multifaktor- / Zwei-Faktor-Authentifizierung''' (MFA/2FA) - Für die Endbenutzerkennungen ist in BlueSpice eine Multifaktor-Authentifizierung möglich: | |||
**Über die Erweiterungen "OATHAuth" und "Webauthn" ist eine Multifaktorauthentifizierung möglich. | |||
***OATHAuth ermöglicht 2FA via One-time-password (TOTP, Time-based One-time Password Algorithmus), z.B. über den Google Authenticator | |||
***WebAuthn ermöglicht 2FA via FIDO-Sticks, Windows Hello!, etc. | |||
**Die Funktionen für 2FA / MFA sind bei Auslieferung deaktiviert und müssen aktiviert werden. | |||
**Bitte beachten Sie, dass mit der Aktivierung einer 2FA kein Single Sign-on mehr möglich ist. | |||
*'''Verschlüsselung bei der Übertragung über das öffentliche Internet''' sowie bei der Übertragung von Dateien oder Daten über Netzwerke: | |||
**In unseren Cloud-Systemen ist der Zugang über HTTPS (mit TLS) ein Standard. Der Kunde kann hier sein eigenes Zertifikat verwenden. | |||
**Bei der Installation vor Ort (On Premises) nutzen wir die Infrastruktur von des Kunden. Die gesamte Kommunikation kann für einen sicheren Transport eingerichtet werden (https, ldaps). | |||
*'''Verschlüsselung zum Schutz von Daten im Ruhezustand''' (Datenbank, Dateien, Sicherungsmedien) ist grundsätzlich möglich. | |||
**Bei der Installation vor Ort (On Premises) nutzen wir die Infrastruktur von des Kunden. die Verschlüsselung muss jedoch vom Kunden oder seinem Dienstleister gewartet werden. | |||
**Eine Verschlüsselung in der BlueSpice Cloud findet nicht statt. | |||
{{Textbox|boxtype=important|header=|text=Bitte beachten Sie, dass BlueSpice free einen reduzierten Funktionsumfang hat. So werden die Erweiterungen für das Single Sign-on und die Zwei-Faktor-Authentifizierung nicht mit BlueSpice free ausgeliefert.|icon=yes}} | |||
Version vom 9. August 2023, 11:32 Uhr
Hier erklären wir Ihnen die konzeptionellen Grundlagen der BlueSpice Softwareentwicklung und erläutern zentrale Verfahren, mit denen Hallo Welt! Sicherheit und Zuverlässigkeit in der Softwareentwicklung gewährleistet.
Prinzipien der Softwareentwicklung[Bearbeiten | Quelltext bearbeiten]
Die Softwareentwicklung von BlueSpice basiert auf einer Reihe wichtiger Prinzipien:
- Cloud-First-Ansatz: Die Software wird für den Einsatz in unserem Cloud-Angebot entwickelt und regelmäßig auch für On-Premises-Installationen veröffentlicht.
- Security-by-Default: Alle relevanten Sicherheitseinstellungen sind bereits in der Grundkonfiguration der Software und unserer Services aktiviert.
- Herstellerunabhängigkeit durch Open-Source-Entwicklung: Hallo Welt! ist zwar alleiniger Hersteller der Softwaredistribution BlueSpice, der von Hallo Welt! produzierte Code wird jedoch unter aktiver Beteiligung der der MediaWiki-Community in den öffentlichen Repositories der Wikimedia Foundation entwickelt und ist somit frei zugänglich. Damit ist sichergestellt, dass der Support für die Nutzer der Software nicht nur durch Hallo Welt!, sondern auch durch andere Dienstleister geleistet werden kann (Vermeidung eines Lock-in-Effekts).
- Verwendung quelloffener Standards, Technologien und Formate: Hallo Welt! setzt auf offene Standards, die besonders leicht zugänglich, erweiterbar und einsetzbar sind. Die notwendige Server-Infrastruktur kann vollständig mit Open-Source-Software bereitgestellt werden (z.B. Linux-Betriebssysteme oder MariaDB als Datenbanksystem). Die Software BlueSpice basiert auf und nutzt verschiedene offene Standards (z.B. TLS, TCP/IP, IPv6 als Netzwerkprotokoll für die Kommunikation, sowie HTML, JavaScript, CSS und XML für die Darstellung und Funktion).
Es verwendet standardisierte Zeichensätze und Kodierungen und unterstützt die Verwendung offener Formate wie PNG, Ogg, SVG, CSV oder MathML. Und natürlich unterstützt BlueSpice einheitliche Standards zur Beschreibung von Metadaten wie RDF. - Sichere Verschlüsselungsverfahren auf Basis von Industriestandards: Hier wird z.B. die Kommunikation zwischen Anwendung und Benutzer durch TLS abgesichert und Passwörter durch Hashing sicher in der Datenbank gespeichert. Für die Benutzerauthentifizierung kann auf bewährte Standards wie SAML oder OpenID Connect zurückgegriffen werden.
- Modularität: Die Software ist modular und objektorientiert aufgebaut. Einzelne Funktionen können bei Bedarf deaktiviert und individuelle Anforderungen einfach umgesetzt werden. Auch kompatible Erweiterungen aus dem MediaWiki-Ökosystem, die nicht direkt Bestandteil von BlueSpice sind, können bei Bedarf nachinstalliert werden (On Premises).
- Interoperabilität: BlueSpice stellt verschiedene Schnittstellen sowie Import- und Exportfunktionen zur Verfügung, um die Wiki-Software mit anderen Systemen zu verbinden. Über eine gut dokumentierte Web API (u.a. REST) können Aufgaben automatisiert und der Datenaustausch zwischen verschiedenen internen IT-Systemen realisiert werden. Ein einfaches XML-basiertes Datenformat ermöglicht den Im- und Export von Wiki-Seiteninhalten und eignet sich z.B. für die Migration bestehender Dokumentenbestände. Darüber hinaus stehen verschiedene Authentifizierungssysteme (Active Directory/LDAP, SAML, Open ID Connect) zur Auswahl, die eine nahtlose Integration von BlueSpice in die eigene IT-Infrastruktur ermöglichen.
Siehe auch:
- Verena Hösl: BlueSpice Produktentwicklung –von der Planung bis zur Dokumentation, BlueSpice Summit 2022.
- Open Source Business Alliance: Sicherheit: Open Source Software und proprietäre Software im Vergleich, 21. Juni 2022.
Kontinuierliche Dokumentation[Bearbeiten | Quelltext bearbeiten]
Eine gute Dokumentation ist für die Nutzung und Weiterentwicklung einer Software essentiell. Der zentrale Ort für die Dokumentation der Software und ihrer Anwendung ist das BlueSpice Helpdesk-Wiki, in dem Sie sich gerade befinden. Es ist die zentrale Anlaufstelle für Anwender, Administratoren und Entwickler. Dort stellen wir zentral und immer aktuell folgende Dokumente bereit:
- Systemanforderungen
- Installationsanleitung
- Softwarekatalog: Umfang des aktuellen Releases
- Releasehistorie: Beschreibung und Release Notes der verschiedenen BlueSpice Versionen
- Die Referenzen aller Erweiterungen: Beschreibung der Funktion, technische Informationen (z.B. Abhängigkeiten, Konfigurationsmöglichkeiten, API Modules und Hooks)
- Ferner findet man dort auch Anwenderhandbücher:
- BlueSpice Betriebshandbuch u.a. mit Diagrammen zur Architektur.
Benutzerauthentifizierung, Verschlüsselung und kryptografische Verfahren[Bearbeiten | Quelltext bearbeiten]
Der Schutz von Datenbeständen, Nachrichten oder Übertragungskanälen ist angesichts der verschärften Bedrohungslage durch Cyber-Angriffe eine zentrale Aufgabe für Softwarehersteller. BlueSpice unterstützt den Datenschutz und die Informationssicherheit durch entsprechende Funktionen. Die wichtigsten sind auf der Seite Datenschutz und Informationssicherheit aufgeführt.
BlueSpice verfügt über wichtige Funktionen, die den Erfolg eines externen Angriffs deutlich erschweren. Dazu gehören Standardfunktionen wie Authentifizierungsverfahren, ein anpassbares Rechtemanagement oder die Stand-alone-Fähigkeit der Software (siehe hierzu : Datenschutz und Informationssicherheit).
- Single Sign-on-Protokolle (SSO) - BlueSpice verwendet zur Absicherung der Authentifizierung Standard-Verfahren:
- SAML 2.0 und OAuth 2.0 Bearer Token werden vollständig unterstützt.
- Open ID Connect (OIDC) kann unterstützt werden.
- Eine Alternative ist Kerberos.
- Passwort Policy - In BlueSpice ist eine Passwort-Policy eingerichtet und kann angepasst werden. Die wichtigsten Funktionen und Möglichkeiten im Überblick:
- Passwörter werden bei der Eingabe verborgen: ja
- Mindestlänge: 10 (konfigurierbar)
- Enthält alphanumerische Zeichen (Großbuchstaben, Kleinbuchstaben, numerische Zeichen) und Symbole (konfigurierbar)
- Maximal ungültige Versuche: 5 (konfigurierbar)
- Dauer der Sperre: 5 min (konfigurierbar)
- Passwortänderungsintervall (Anzahl der Tage, bevor das System den Nutzer zwingt, das Passwort zu ändern): keine (konfigurierbar)
- Min. Tage vor Passwortänderung erlaubt: leider nicht möglich
- Passworthistorie: leider nicht nicht möglich
- Sperren inaktiver Kennungen: über UserManager möglich
- Löschen inaktiver IDs: über Serverskript möglich
- Multifaktor- / Zwei-Faktor-Authentifizierung (MFA/2FA) - Für die Endbenutzerkennungen ist in BlueSpice eine Multifaktor-Authentifizierung möglich:
- Über die Erweiterungen "OATHAuth" und "Webauthn" ist eine Multifaktorauthentifizierung möglich.
- OATHAuth ermöglicht 2FA via One-time-password (TOTP, Time-based One-time Password Algorithmus), z.B. über den Google Authenticator
- WebAuthn ermöglicht 2FA via FIDO-Sticks, Windows Hello!, etc.
- Die Funktionen für 2FA / MFA sind bei Auslieferung deaktiviert und müssen aktiviert werden.
- Bitte beachten Sie, dass mit der Aktivierung einer 2FA kein Single Sign-on mehr möglich ist.
- Über die Erweiterungen "OATHAuth" und "Webauthn" ist eine Multifaktorauthentifizierung möglich.
- Verschlüsselung bei der Übertragung über das öffentliche Internet sowie bei der Übertragung von Dateien oder Daten über Netzwerke:
- In unseren Cloud-Systemen ist der Zugang über HTTPS (mit TLS) ein Standard. Der Kunde kann hier sein eigenes Zertifikat verwenden.
- Bei der Installation vor Ort (On Premises) nutzen wir die Infrastruktur von des Kunden. Die gesamte Kommunikation kann für einen sicheren Transport eingerichtet werden (https, ldaps).
- Verschlüsselung zum Schutz von Daten im Ruhezustand (Datenbank, Dateien, Sicherungsmedien) ist grundsätzlich möglich.
- Bei der Installation vor Ort (On Premises) nutzen wir die Infrastruktur von des Kunden. die Verschlüsselung muss jedoch vom Kunden oder seinem Dienstleister gewartet werden.
- Eine Verschlüsselung in der BlueSpice Cloud findet nicht statt.
Bitte beachten Sie, dass BlueSpice free einen reduzierten Funktionsumfang hat. So werden die Erweiterungen für das Single Sign-on und die Zwei-Faktor-Authentifizierung nicht mit BlueSpice free ausgeliefert.
Diskussionen