Sovereign Cloud Stack

Eine Plattform — standardisiert, entwickelt und betrieben von Vielen.

Vergabepaket 9c

Penetration Testing

Gegenstand der Ausschreibung ist eine Rahmenvereinbarung mit einem Unternehmen über Programmier- und sonstige Dienstleistungen für die Entwicklung, Bereitstellung, Dokumentation, Automatisierung und Durchführung von Angriffstests für den Sovereign Cloud Stack (SCS).

In der vorliegenden Ausschreibung geht es um die Absicherung mit Hilfe von Angriffstests (Penetration Testing). Hierbei sollen potentielle Angriffspunkte gegen SCS-basierten Cloud- und Containerinfrastrukturangebote analysiert, identifiziert und dokumentiert werden und dann Werkzeuge entwickelt bzw. weiterentwickelt werden, die ein Angreifer nutzen könnte, um Schwachstellen in SCS-basierten Cloud- und Containerinfrastrukturangeboten zu finden und auszunutzen. Der Anbieter soll das SCS Entwicklungsteam dabei beraten, wie diese Schwachstellen vermieden werden können und Angriffe abgewehrt werden – das agile Entwicklungsteam nutzt die Erkenntnisse dann, um die Plattform entsprechend zu härten. Die Angriffswerkzeuge sollen möglichst weitgehend automatisierbar sein, unter einer Open Source Lizenz verfügbar gemacht werden und in die Testinfrastruktur (CI) des SCS Projekts eingebunden werden, damit erneutes Auftreten dieser Schwachstellen sofort erkannt wird und somit frühzeitig behoben werden kann.

Der vorliegende Auftrag dient der Umsetzung des vom BMWK geförderten Projekts „Sovereign Cloud Stack - Ein offener, souveräner, föderierbarer Infrastruktur­stack für GAIA-X“.