Im Jahr 2015 wurde die Security Community (SecC) von Beschäftigten der Telekom MMS gegründet. Eines der ersten Ziele war es die Aufwände mit den Security Anforderungen des Telekom Konzerns zu reduzieren und den Prozess für alle Kolleg*innen zu vereinfachen. Die Lösung bestand dabei im Beginn des Schreibens der SecC Puppet Module. Ab 2018 fand schließlich die Veröffentlichung der Module über GitHub statt. Doch warum die Puppet SecC Module nun als veraltet markiert werden mussten und welche Alternativen für die Nutzer*innen bereitstehen, erfahrt Ihr in diesem Beitrag.

Welchen Mehrwert haben Puppet Module?

In Puppet kann ein Modul als eine Sammlung von Ressourcen, Klassen, Dateien, Definitionen und Vorlagen definiert werden. Puppet unterstützt dabei die einfache Neuverteilung von Modulen, was bei der Modularität des Codes sehr hilfreich ist, da ein bestimmtes generisches Modul geschrieben und mit sehr wenigen einfachen Codeänderungen mehrmals verwendet werden kann.

Veröffentlichung von Puppet Modulen durch die SecC

Ein Jahr nach Beginn der Konzeption der SecC Puppet Module konnte das erste gesetzte Ziel – nämlich die Anforderungen für das Privacy & Security Assessment (PSA-Verfahren) automatisch abzudecken – erreicht und die Puppet Module intern allen Kolleg*innen bereitgestellt werden. In den folgenden Jahren wurde die Qualität der Module immer weiter verbessert. Zudem wurden automatisierte Tests, Codingstandards und schöne Releaseprozesse mit sauberer Versionierung und Changelogs etabliert. Mit dem Jahr 2018 konnte schließlich genügend Erfahrung gesammelt werden, weshalb sich dazu entschlossen wurde, die Arbeiten zu veröffentlichen.

Daraus resultierte, dass die Puppet Module auf GitHub gestellt und in die öffentliche Puppet Forge geladen wurden. Seitdem konnten zahlreiche Downloads gezählt und auch einiges an Weiterentwicklung betrieben werden.

Jedoch hat sich in der letzten Zeit abgezeichnet, dass nicht mehr die nötige Aufmerksamkeit aufgeboten werden kann, um die veröffentlichten Module aktuell und gepflegt zu halten. Dies hängt unter anderem damit zusammen, dass die Haupt-Maintainer für die Module inzwischen in einem anderen OpenSource Projekt engagiert sind, welches neben den Puppet Modulen auch eine Ansible Collection, Chef Cookbooks und Inspec Profile für Systemhärtungen bereitstellt.

Aus diesem Grund wurde sich nun im Jahr 2021 entschieden die zur Verfügung gestellten Puppet SecC Module als veraltet markieren zu lassen. Demnach wird ab jetzt allen noch aktiven Nutzer*innen empfohlen neuere Alternativen einzusetzen. Das von der SecC erstellte Ticket in der Puppet-Forge (FORGE-610) wurde bereits entsprechend umgesetzt.

Damit geht für uns eine lange und schöne Reise zu Ende.

Martin Schurz, System Architect für Agile Operation & Cloud, Telekom MMS

Welche Alternativen gibt es?

Als Alternativen empfiehlt die SecC besonders die Automatisierungen von dev-sec.io. Das ist auch das Projekt, an dem momentan die MMS-Kolleg*innen hauptsächlich mitarbeiten. Diese decken ebenfalls die Anforderungen des PSA-Prozesses ab und sind sehr gut gepflegt. Für das Projekt wurden sogar noch einige weitere Komponenten abgedeckt, die bisher von den SecC Modulen nicht betrachtet wurden, dazu gehört unter anderem Software wie MySQL, PostgreSQL oder Kubernetes.

Neben den Informationen auf der Webseite dev-sec.io sind auch die einzelnen Module in den entsprechenden Repositories zu finden:

Cloud Application Management

Egal ob Onlineshop, IOT-Lösung oder Intranet Portal – wir betreiben Ihre geschäftskritische Webanwendung. Nutzen Sie die Vorteile der Cloud und sichern Sie die Compliance für Ihre Business-Applikationen.

Noch mehr Open Source?