Sicherheits­funktionen von TeamCity

Implementieren Sie je nach den Anforderungen Ihrer Organisation mehrere Sicherheitsebenen gegen Cyberangriffe.

Die Sicherheit Ihres CI/CD-Servers hat für uns höchste Priorität

Der Schutz Ihres CI-Servers erfordert einen mehrschichtigen Ansatz, denn auf jeder Ebene des Stacks müssen Sicherungsmaßnahmen ergriffen werden. Aus diesem Grund steht die Sicherheit bei TeamCity im Mittelpunkt. Mit einer Reihe von Funktionen zur Verbesserung der Sicherheit Ihres CI/CD-Prozesses hilft Ihnen TeamCity, die Integrität Ihres Quellcodes und Ihrer Systeme zu schützen.

SOC-2-Typ-II-konform

Die Zertifizierung nach SOC 2 Typ II wird an Unternehmen vergeben, die nachweislich in der Lage sind, wirksame Sicherheitskontrollen über einen bestimmten Zeitraum hinweg zu umzusetzen und aufrechtzuerhalten. Dass TeamCity diese Hürde genommen hat, ist ein Beleg für den Stellenwert der Sicherheit bei TeamCity.

DSGVO-konform

Als Teil der JetBrains-Produktfamilie verarbeiten wir die personenbezogenen Daten unserer Kundinnen und Kunden unter Einhaltung der Datenschutz-Grundverordnung (DSGVO).

Regelmäßige Sicherheitsaudits

TeamCity nimmt die Sicherheit ernst. Daher führen wir regelmäßig Audits – einschließlich gründlicher Penetrationstests – durch, um die Infrastruktur zu stärken und einen robusten Benutzerschutz zu gewährleisten. Die Audits werden vom bekannten Cybersicherheitsunternehmen Cure53 durchgeführt.

Kontaktieren Sie uns, um die neuesten Audit-Ergebnisse zu erhalten.

Auditergebnisse anfragen

Sicherheitsfunktionen von TeamCity für jede Phase Ihres CI/CD-Prozesses

Identität, Authentifizierung und Autorisierung

Authentifizierungsmethoden

Durch eine Auswahl an Authentifizierungsmodulen in Kombination mit detailliert abgestuften Zugriffsrechten ermöglicht TeamCity eine projektspezifische Zugriffskonfiguration.

Erweiterte Integrationen

Integrieren Sie TeamCity in Ihren VCS-Hosting-Service, Ihren LDAP-Server oder Ihre NTLM-Installation, um Benutzeraccounts automatisch zu verwalten und die Sicherheit durch Zwei-Faktor-Authentifizierung (2FA) oder E-Mail-Verifizierung zu erhöhen.

Prinzip der Rechteminimierung

TeamCity stellt vorkonfigurierte Rollen bereit, die sofort nach der Installation verfügbar sind. Sie können auch eine benutzerdefinierte, rollenbasierte Zugriffssteuerung verwenden, um Ihre Organisationshierarchie abzubilden und das Prinzip der Rechteminimierung umzusetzen. Dabei erhalten die Benutzer*innen nur die Zugriffsrechte, die sie tatsächlich benötigen.

REST-API

Beim Zugriff auf die REST-API von TeamCity sorgen Kurzzeit-Zugangstoken dafür, dass die erforderlichen Zugriffsrechte bereitgestellt werden, während gleichzeitig die potenzielle Angriffsfläche minimiert wird.

Verwaltung von Geheimwerten

TeamCity unterstützt die Verwendung von Token und Geheimwerten für die sichere Speicherung vertraulicher Informationen wie API-Schlüssel und Zugangsdaten.

Geschützte Geheimwert-Speicher

Verwalten Sie in Ihrem eigenen HashiCorp Vault oder Azure Key Vault alle Geheimwerte und Zugangsdaten, die für die Bereitstellung von Umgebungen oder den Zugriff auf Fremdsysteme erforderlich sind. Unabhängig von der Quelle werden alle Geheimwerte in Buildprotokollen automatisch maskiert, damit sie nicht in falsche Hände geraten können.

Build-Umgebungen für die Einmalnutzung

Build-Agents sind ein wertvolles Ziel für Cyberattacken aufgrund ihres Zugangs zu Quellcode-Repos und der Möglichkeit, Befehle in Ihrer Infrastruktur auszuführen. Deshalb stellt TeamCity alle Funktionen bereit, die Sie benötigen, um diese Risiken zu minimieren.

Build-Agents für die Einmalnutzung

Je kürzer die Lebensdauer eines Build-Agents ist, desto geringer ist das Risiko einer Infiltrierung. TeamCity bietet Ihnen die Möglichkeit, Build-Agents nur einmalig zu verwenden, um jeden Pipeline-Durchlauf automatisch mit einer frischen Build-Umgebung zu beginnen.

Agent-Pools

Mit den Agent-Pools von TeamCity können Sie steuern, welche Jobs auf den einzelnen Agents ausgeführt werden können, um auf diese Weise risikoreiche Pipelines von anderen Workflows zu trennen.

Clean Checkout

Gewährleisten Sie mit SSH-Schlüsseln den sicheren Zugriff auf Ihre Versionsverwaltungssysteme und verwenden Sie die TeamCity-Funktion Clean Checkout, um für jeden Pipeline-Durchlauf eine neue Kopie des Quellcodes abzurufen.

Sichern Sie Ihre CI/CD-Pipeline mit TeamCity

TeamCity Cloud

Eine sichere, vollständig von JetBrains verwaltete CI/CD-Lösung für Teams, die Cloud-Services bevorzugen.

TeamCity On-Premises

Eine selbst gehostete CI/CD-Lösung für Unternehmen, die mehr Kontrolle über ihren Continuous-Integration- und Deployment-Prozess benötigen.

Geschützter Prozess

Ihre CI/CD-Pipeline sollte dafür sorgen, dass Sie beim Bereitstellen volles Vertrauen in Ihre letzten Codeänderungen haben können. Die Verwendung eines automatisierten Prozesses stellt sicher, dass Ihre Tests jedes Mal einheitlich durchgeführt werden.

Es ist daher unerlässlich, alle Pipeline-Änderungen vor der Anwendung zu überprüfen. In TeamCity sind die Pipeline-Berechtigungen, die Audit-Protokolle und die Funktion „Konfiguration als Code“ so konzipiert, dass Sie die volle Kontrolle und einen vollständigen Überblick über Ihren Continuous-Integration- und Deployment-Prozess behalten.

Detaillierte Berechtigungen

Mit dem fein abgestuften Berechtigungsmodell von TeamCity können Sie den Bearbeitungszugriff auf Pipeline-Einstellungen einschränken, und auch das Umgehen oder Verändern kritischer Schritte kann unterbunden werden. Mit Pflichteinstellungen können Sie sicherstellen, dass wichtige Sicherheitschecks immer angewendet werden. Überwachen und verfolgen Sie Änderungen an Build- oder Projekteinstellungen anhand des Auditprotokolls.

Konfiguration als Code

Konfigurieren Sie Ihre Pipeline-Logik als Code mit Kotlin-DSL oder XML. Speichern Sie Ihre Pipeline-Einstellungen in Ihrer Versionsverwaltung und unterziehen Sie alle Änderungen einem Code-Review-Prozess, um das Risiko unsicherer Änderungen zu reduzieren.

Ausführliche Buildprotokolle

Für den Fall eines Sicherheitsverstoßes stellen die Build-Protokolle von TeamCity einen wichtigen Prüfpfad bereit, mit dessen Hilfe Sie den Ursprung des Verstoßes aufspüren und das Ausmaß des Schadens abschätzen können.

Genehmigungsfunktion für Builds

Mit der Build-Genehmigungsfunktion von TeamCity können Sie vor kritischen Pipeline-Phasen einen manuellen Bestätigungsschritt einbauen.

Prüfen aller Änderungen

Behalten Sie den Überblick über die Aktionen einzelner Personen mit der Audit-Funktion von TeamCity. Identifizieren Sie die verantwortliche Person für Rollenzuweisungen, das Hinzufügen von Benutzer*innen zu Gruppen, Änderungen von Buildkonfigurationen und andere Aktivitäten.

Let’s-Encrypt-Integration

Let’s Encrypt ist eine gemeinnützige Zertifizierungsstelle (CA), die von allen modernen Browsern akzeptierte TLS-Zertifikate bereitstellt. TeamCity kann diese Zertifizierungsstelle kontaktieren, um sowohl für die Domain Ihres TeamCity-Servers als auch für die Artefaktisolierungs-Domain – falls eine solche konfiguriert ist – automatisch Zertifikate ausstellen zu lassen.

Sicherheitstests für Continuous Integration

Je früher Sie Sicherheitslücken in Ihrem Quellcode erkennen und beheben, desto kleiner ist die potenzielle Angriffsfläche. Mit TeamCity lassen sich ein „Linksshift“ der Sicherheit und die Einführung eines DevSecOps-Prozesses ganz einfach umsetzen.

Qodana-Integration

Nutzen Sie die standardmäßige Integration von TeamCity mit Qodana, um statische Analysen in Ihre Pipeline zu integrieren.

Sicherheitstests

Führen Sie Sicherheitstests als Teil Ihrer automatisierten Testsuite durch und erhalten Sie sofort Ergebnisse mit Metadaten, die Ihnen helfen, die Ursache von Problemen zu lokalisieren.

Vorab-Test von Commits

Verringern Sie das Risiko, dass von Sicherheitslücken betroffener Code in Ihre Repos gelangt, indem Sie Ihren Code zuerst mit den TeamCity-Funktionen Remote-Ausführung und Vorab-Test von Commits prüfen.

Höhere CI/CD-Sicherheit mit TeamCity-Plugins

Mit diesen Plugins können Sie Ihre CI/CD-Pipeline um zusätzliche Sicherheitsebenen ergänzen.

Snyk Security

Das Plugin Snyk ermöglicht das Prüfen Ihrer Code-Abhängigkeiten auf die in der Snyk-Datenbank gespeicherten Schwachstellen. Wenn beim Sicherheitsscan festgestellt wird, dass die Gefährdung des Codes das per Richtlinie festgelegte Maß überschreitet, wird der Buildvorgang mit einem Fehler abgebrochen.

Appdome Build-2Secure

Mit dem Plugin Appdome Build-2Secure können Sie Ihre Mobil-Apps in JetBrains TeamCity im Rahmen Ihres Build- und Deployment-Prozesses unkompliziert individualisieren und sichern.

Checkmarx

Das in der TeamCity-Umgebung installierte TeamCity-Plugin Checkmarx ermöglicht beim Auslösen eines Buildvorgangs eine automatische Codeüberprüfung, wobei der Projektcode zu CxSAST hochgeladen wird.

TeamCity-Plugins entdecken

TeamCity Cloud: ein stolzer AWS-Partner

TeamCity Cloud ist anerkannter AWS-Partner mit nachgewiesener DevOps-Softwarekompetenz, der die höchsten Sicherheitsstandards erfüllt.

Kostenlose Testphase starten

FAQ zur TeamCity-Sicherheit

Wir arbeiten mit Drittanbietern zusammen und verwenden Sicherheitsscanner und Penetrationstests, um die Sicherheit von TeamCity zu prüfen. Jegliche kritischen Sicherheitsprobleme, die wir entdecken, werden umgehend im nächsten Bugfix-Release behoben. Wir empfehlen, sofort bei Verfügbarkeit auf die neueste Version zu aktualisieren. Bei TeamCity Cloud ist Ihr Buildserver stets automatisch auf dem neuesten Stand. Klicken Sie hier, um mehr über den Release-Zyklus von TeamCity zu erfahren. Wir empfehlen Ihnen auch, unseren Sicherheitsbenachrichtigungsservice zu abonnieren, um die neuesten Informationen über Sicherheitsprobleme zu erhalten, die TeamCity oder andere JetBrains-Produkte betreffen können.

Ihre Build-Agents kommunizieren mit dem TeamCity-Server über ein unidirektionales, über HTTPS gesichertes Polling-Protokoll. Sie können Build-Agents bei Bedarf auch hinter einem Proxy konfigurieren. Die TeamCity-Weboberfläche kann über HTTPS gesichert oder hinter einem Reverse Proxy gehostet werden. Erfahren Sie mehr über Best Practices für die TeamCity-Sicherheit.

Ja. Wenn Sie Pull-Requests als Build-Trigger konfigurieren, können Sie dies auf Pull-Requests beschränken, die von Mitgliedern Ihrer GitHub-Organisation oder aber von Mitgliedern und externen Mitwirkenden eröffnet wurden. Dadurch wird verhindert, dass unbekannte Dritte unbekannten Code auf Ihren Build-Agents ausführen, ohne dass dieser zuvor überprüft wurde.