Sicherheitsaspekte für Rational ClearQuest

Sie können Maßnahmen ergreifen, um sicherzustellen, dass Ihre Installation sicher ist, Ihre Sicherheitseinstellungen anpassen und Kontrollmechanismen für den Benutzerzugriff einrichten. Außerdem können Sie sicherstellen, dass Ihnen alle Sicherheitseinschränkungen in Bezug auf diese Anwendung bekannt sind.

Sicherheit während des Installationsprozesses aktivieren

Das Produkt IBM® Rational ClearQuest verfügt über mehrere installierbare Komponenten, die entweder als Desktopkomponenten oder als serverbasierte Komponenten klassifiziert sind. Während des Installationsprozesses gibt es wenige Optionen, die sich direkt auf die Sicherheit beziehen. Sie können jedoch vor und nach der Installation Konfigurationsschritte ausführen, um die Sicherheit der ClearQuest-Anwendungen zu verbessern.
  • Desktopanwendungen umfassen den ClearQuest-Client und den ClearQuest-Client für Windows. Damit diese Clients arbeiten können, müssen Sie Datenbankverbindungen zu Ihren ClearQuest-Datenbanken herstellen. Um diese Verbindungen auf Windows-Systemen zu erstellen, verwenden Sie das ClearQuest Maintenance Tool. Um diese Verbindungen auf UNIX- und Linux-Systemen zu erstellen, verwenden Sie das Befehlszeilendienstprogramm cqreg.
  • Ein ClearQuest Web-Server wird auf dem IBM WebSphere Application Server ausgeführt. Befolgen Sie die allgemeinen Anweisungen zur Verbesserung der Sicherheit Ihrer WebSphere Application Server-Implementierung. Die ClearQuest Web-Komponenten können ebenfalls konfiguriert werden, um die Sicherheit zu verbessern. Ein bewährtes Verfahren ist, immer SSL-HTTPS-Verbindungen zum ClearQuest Web-Server vom Browser aus zu verwenden, da Berechtigungsnachweise für die Benutzeranmeldung über diese Verbindung übergeben werden. SSL verschlüsselt alle Daten, die über eine HTTPS-Verbindung übergeben werden.

Sichere Kommunikation zwischen mehreren Anwendungen aktivieren

IBM Rational ClearQuest kann mit vielen Typen von Anwendungen integriert werden. Verwenden Sie immer SSL-HTTPS-Verbindungen zwischen dem ClearQuest Web-Server und anderen webbasierten Anwendungen.

Ports, Protokolle und Services

Konfigurieren Sie den IBM Rational ClearQuest Web-Server für die Verwendung des SSL-HTTPS-Protokolls.

Sicherheitseinstellungen anpassen

  • Es ist wichtig, die WebSphere Application Server-Einstellungen für die Sicherheit auf höherer Ebene zu konfigurieren. Weitere Informationen finden Sie in Technote 1628378.
  • Produktstufe 7 verwendet Algorithmen für eine stärkere Verschlüsselung als vorherige Produktstufen. Weitere Informationen finden Sie in Features in den Produktstufen.
  • ClearQuest unterstützt Konfigurationen für die FIPS 140-2-Verschlüsselungsstandards. Ein bewährtes Verfahren ist, ClearQuest für diesen Standard zu konfigurieren. Weitere Informationen finden Sie in Mit FIPS 140-2 kompatible Datenverschlüsselung konfigurieren.

Benutzerrollen und -zugriff definieren

  • ClearQuest verwaltet die Änderungsmanagementdatensätze eines Unternehmens, einer Abteilung oder eines Projekts in einer Datenbank mit der Bezeichnung Benutzerdatenbank. Weitere Informationen finden Sie in Benutzerdatenbanken. Eine Implementierung kann mehrere Benutzerdatenbanken oder eine einzelne Datenbank verwenden. Mehrere Datenbanken können unter ein Schemarepository zusammengefasst werden, das Prozessworkflows mit der Bezeichnung Schemas enthält. Weitere Informationen finden Sie in Schemas und Schemarepositorys.
    • Die beste Datenisolation wird bereitgestellt, wenn verschiedene Benutzerdatenbanken auf einer Projekt- oder Unternehmensbasis vorhanden sind. Der Benutzerzugriff auf die Datenbanken kann erteilt werden, um den Zugriff auf die Daten in einer Datenbank zu steuern. Jede Datenbank erfordert eine separate Benutzeranmeldung für die Erteilung des Zugriffs. ClearQuest-Verweise auf Datensätze überqueren nicht Benutzerdatenbanken. Datensätze können auf Daten in anderen Benutzerdatenbanken verweisen, indem REST URLs in Hinweisen oder OSLC-Links (OSLC = Open Services for Lifecycle Collaboration) verwendet werden, wenn spezielle Konfigurationen durchgeführt werden.
    • Oft ist es für verschiedene Projekte oder Unternehmen wünschenswert, Zugriff auf alle oder einige Daten anderer Benutzer zu haben. In diesen Situationen ist es praktisch, wenn nur eine Benutzerdatenbank vorhanden ist. ClearQuest stellt ein Feature mit der Bezeichnung Sicherheitskontext bereit, mit dem Sie Datensätze für Benutzer ausblenden können, die kein Mitglied einer angegebenen Zugriffssteuergruppe sind. Da sich alle Daten in einem Repository befinden, können ClearQuest-Verweise auf Datensätze verwendet werden. Sie müssen darauf achten, Datensätze mit dem Feature für den Sicherheitskontext zu schützen und auszublenden. Weitere Informationen zum Feature für den Sicherheitskontext und zum Erstellen eines Sicherheitsmodells finden Sie in Sicherheitsmodell erstellen.
    • ClearQuest verwendet ein rollenbasiertes Zugriffssteuerungsmodell für die Durchsetzung der Arbeitsbereichssicherheit. Berechtigungen für Arbeitsbereichsordner stellen eine Kontrolle auf höherer Ebene über die Sichtbarkeit und Änderung von Arbeitsbereichsordnern bereit, indem es den Benutzern mit den Berechtigungen 'Security Administrator' (Sicherheitsadministrator) und 'Public Folder Administrator' (Administrator für öffentliche Ordner) erlaubt wird, Benutzergruppen für bestimmte Ordner bestimmte Berechtigungen zuzuordnen. Weitere Informationen finden Sie in Übersicht über die Berechtigungen für Arbeitsbereichsordner.
    • ClearQuest stellt ein in hohem Maße anpassbares System bereit, mit dem unter Verwendung von Hooks gesteuert werden kann, welche Aktion von welchem Benutzer ausgeführt werden kann. Hooks sind Einstiegspunkte (wie Auslöser) für Scripts, die zu bestimmten Zeiten ausgeführt werden und steuern, wie Benutzer in einer ClearQuest-Umgebung arbeiten. Mit Aktions-Hooks für die Zugriffssteuerung kann gesteuert werden, welche Benutzer die Berechtigung zum Ändern von Datensatzwerten haben. Mit Feld-Hooks für die Zugriffssteuerung werden Zugriffsberechtigungen durchgesetzt, die es nur den angegebenen Benutzergruppen erlauben, Feldwerte zu ändern. Weitere Informationen finden Sie in Hooks.
  • ClearQuest stellt das Benutzerverwaltungstool zum Hinzufügen von Benutzern und Benutzergruppen bereit, mit dem der Zugriff auf ClearQuest-Datenbanken gesteuert wird. Benutzer und Gruppen werden dem Masterschemarepository hinzugefügt. Benutzer und Gruppen werden dann für bestimmte Benutzerdatenbanken subskribiert. Mit dieser Subskription kann gesteuert werden, welche Benutzer auf eine Benutzerdatenbank zugreifen können. Weitere Informationen finden Sie in Benutzeraccounts verwalten.
  • ClearQuest stellt zwei Typen der Benutzerauthentifizierung bereit, die ClearQuest-anwendungsbasierte Authentifizierung und die LDAP-basierte Authentifizierung.
    • Die LDAP-Authentifizierung ist die bevorzugte Methode, da die meisten LDAP-Server eine Kennwortrichtliniendurchsetzung bereitstellen, wie z. B. Kennwortsicherheit und Aussperrung nach zu vielen fehlgeschlagenen Versuchen. Weitere Informationen finden Sie in LDAP mit ClearQuest verwenden.

      Verwenden Sie SSL, um die Benutzerberechtigungen sicher zwischen der ClearQuest-Anwendung und dem LDAP-Server zu übergeben. Weitere Informationen finden Sie in LDAP-Verbindungsinformationen von ClearQuest für SSL festlegen.

    • Die ClearQuest-Authentifizierung stellt einen einfachen Authentifizierungsmodus bereit, bei dem der Benutzername und das verschlüsselte Kennwort in der ClearQuest-Datenbank gespeichert werden. Es ist keine Kennwortrichtliniendurchsetzung vorhanden.
  • Sie können Benutzern Berechtigungen für die Ausführung bestimmter beschränkter Operationen in ClearQuest erteilen. Mit der Berechtigung 'Super User' können alle Operationen ausgeführt werden. Der Superuser kann dann anderen Benutzern ihre Berechtigungen erteilen. Weitere Informationen finden Sie in Benutzerberechtigungen.
  • Wenn ClearQuest eine Benutzerdatenbank erstellt, werden fünf Benutzeraccounts zum Testen der anfänglichen Testimplementierung erstellt. Diese Accounts sind 'admin', 'engineer', 'lead', 'QE' und 'user'. Ein bewährtes Verfahren ist, den Account 'admin' in einen anderen Namen umzubenennen, den Nichtberechtigte wahrscheinlich nicht erraten können, und dem Account ein komplexes Kennwort zuzuordnen. Ein bewährtes Verfahren ist auch, die anderen vorinstallierten Accounts zu ändern. Dies kann erfolgen, indem die Namen für diese Accounts in die tatsächlichen Benutzernamen geändert werden. Alternativ können Sie diese Benutzeraccounts als inaktiv markieren, den Benutzernamen und das Kennwort in eine komplexe Gruppe von Zeichen ändern und alle Berechtigungen entfernen. Benutzeraccounts können nicht aus ClearQuest gelöscht werden; sie können nur als inaktiv markiert werden.

Hinweise zu den Datenschutzrichtlinien

Je nachdem, welche Konfigurationen implementiert werden, verwendet dieses Softwareangebot Cookies, die personenbezogene Daten enthalten können. Informationen zur Verwendung von Cookies in diesem Angebot finden Sie im Abschnitt Bemerkungen.

Rational ClearQuest speichert einige persistente Cookies und Sitzungscookies im Web-Clientsystem. Die Speicherung persistenter Cookies kann inaktiviert werden. Informationen zu persistenten Cookies und Sitzungscookies finden Sie in Persistente Cookies und Sitzungscookies.

Sicherheitseinschränkungen

Rational ClearQuest erweitert kontinuierlich die Sicherheitsaspekte der Komponenten und behebt Probleme, die aufgetreten sind. Planen Sie die Durchführung eines Upgrades auf die neuesten Releases von ClearQuest, wenn sie verfügbar sind, da diese Releases Sicherheitsverbesserungen oder Korrekturen enthalten können. Überwachen Sie die Sicherheits-Flash-Bulletins für ClearQuest und WebSphere Application Server auf Sicherheitsalerts und Informationen zu Aktionen, die auszuführen sind.


Feedback