Security Force.
Content Manage-
ment.
Die Fernao Security Force ist im Bereich IT-Sicherheit zuständig und verwaltet daher eine umfangreiche Datenbank an sicherheitsrelevantem Wissen. Um die Mitarbeiter optimal bei der Berichtserstellung zu unterstützen, haben wir 2023 die ursprüngliche Software der Fernao Security Force mit neusten Webtechnologien aufgesetzt und weiterentwickelt.
Unsere Webapplikation bietet neben einer Wissensdatenbank auch umfangreiche Optionen zum Suchen und Filtern, Export und Importfunktionen von Wissen und Berichten und, als zentraler Punkt, ein eigens geschriebenes Content Management Tool zum Erstellen von Pentesting-Berichten.
Wir haben in diesem Projekt verschiedene Schnittstellen, beispielsweise zu DeepL, angebunden.
Security First.
Als Sicherheitsexperte legte unser Kunde besonders großen Wert auf die Sicherheit des gesamten Systems. Wir haben ein komplexes Rollensystem implementiert, mit dem sämtliche Datenbankzugriffe bis ins kleinste Detail geregelt werden. Dank neuster Webtechnologien sind wir in der Lage diese Rollensysteme für alle unsere Kunden so umzusetzen, dass alle Bedingungen erfüllt werden, von Dateiupload und -download, Lese- und Schreibrechte einzelner Datensätze und Attribute bis hin zur Konfiguration von Änderungshistorien aller im System vorhandenen Daten.
Wir achten stets penibel auf die Aktualität und Sicherheit aller verwendeten Module und Plugins. Am Ende des Projekts wurde ein Pentest durchgeführt.
Für die Nutzerverwaltung haben wir das hausinterne Active Directory unseres Kunden angebunden. Nutzerrollen werden automatisch zugewiesen und Lese- und Schreibrechte gesteuert.
File Manage-
ment.
Dateimanagement ist ein zentraler Punkt dieses Projektes. Dateien müssen von Nutzern, abhängig von einem projektspezifischen Rollensystem, hochgeladen, angezeigt, editiert und gelöscht werden können. Dateien werden sicher abgelegt und liegen nicht direkt frei im Web. Unser Authentifizierungssystem stellt sicher, dass jeder Nutzer nur den Zugriff auf ein bestimmtes dynamisches Subset aller Dateien bekommen.
Neben dem Upload regulärer Dateien stellen wir auch verschiedene Export- und Importfunktionen bereit. Projekte und Einträge der Wissensbasis können als ZIP oder JSON heruntergeladen werden, um sie zu archivieren. Archivierte Einträge können zu jeder Zeit in das System zurück importiert werden. In strukturierten Listen werden etwaige Fehler- und Warnmeldungen, die beim Import entstehen können, angezeigt und können so direkt adressiert werden.
Dynamische Struk-
turen.
Wir haben in diesem Projekt mehrere dynamische Datenstrukturen geschaffen, die sowohl von unserer Datenbank als auch vom Webfrontend beachtet werden. So sind Projekte beispielsweise in einer baumartigen Struktur angeordnet, wobei Projekte wiederum Subprojekte erhalten können in beliebig vielen Ebenen. Die Verwendung moderner Webframeworks, in unserem Fall VueJS 3, erlaubt es uns diese Strukturen für den User rekursiv, also dynamisch ineinander verschachtelt, darzustellen.
Unser Rollensystem arbeitet ebenfalls auf den rekursiven Strukturen, denn Nutzungsrechte leiten sich von oben nach unten ab, können jedoch auch pro Ebene neu vergeben werden.
Version Control.
Es arbeiten jeweils mehrere Mitarbeiter an einem Projekt oder Bericht, daher ist es unerlässlich über ein Versionskontrollsystem sicherzustellen, dass alle Änderungen, deren Autor und Zeitpunkt getrackt und aufgelistet werden. Per Klick können Mitarbeitende fließend zwischen Versionen wechseln und bei Bedarf wieder herstellen.
Neben der Versionierung gibt es einen live Indikator an allen Eingabefeldern eines Berichtes, der anzeigt ob sich ein Feld gerade in Bearbeitung befindet und durch welchen Mitarbeiter das Feld bearbeitet wird. So kann vermieden werden, dass gleichzeitig Änderungen am gleichen Feld stattfinden und sich gegenseitig überschreiben.