CRA-konforme Softwareentwicklung mit Zero-Trust Attestation 

Mit dem Cyber Resilience Act (CRA) zieht regulatorischer Druck in die Entwicklungsprozesse softwarebasierter Produkte ein. Unternehmen stehen vor der Herausforderung, ihre Build- und Release-Prozesse so zu gestalten, dass sie nicht nur sicher, sondern auch nachweislich konform mit den CRA-Anforderungen sind – insbesondere was nachvollziehbare Software-Lieferketten, risikoorientierte Governance und Kontrolle über SBOMs betrifft. 

In diesem Vortrag wird ein Ansatz vorgestellt, wie moderne Prinzipien wie Zero Trust Attestation und Policy-basierte Code-Signatur-Workflows in CI/CD-Pipelines integriert werden können, um diesen regulatorischen Anforderungen systematisch zu begegnen.

Anhand konkreter Szenarien wird gezeigt, wie: 

• Build-Artefakte nur dann veröffentlicht werden können, wenn sie durch vordefinierte Attestation-Richtlinien validiert wurden, und 
  
• wie ein durchgängiger, überprüfbarer Entwicklungsprozess dabei hilft, CRA-Audits zu bestehen – ohne Produktivitätseinbußen. 

Ziel ist es, den Teilnehmenden Impulse zu geben, wie sie ihre eigenen Prozesse praxisnah und zukunftssicher gestalten können.