\section{Proof of Concept} % Fallstudie (10-14 Seiten) \subsection{Bestehendes Setup} \todox{besserer Name} - Bestehender Stack: 20-30 Container (Liste der Services) - Ursprüngliche Architektur: Monolithisch oder loosen coupled? - Migrationshürden: Stateful Services, Secrets, Network Policies \subsection{Security-Gates} \todox{besserer Name} | Gate | Implementierung | Ergebnis | |------|-----------------|----------| | SBOM-Erstellung | Syft $\rightarrow$ SPDX JSON | 100\% der Images haben SBOM | | Image-Signing | Cosign $\rightarrow$ Sigstore | 100\% signiert | | Vulnerability Scan | Trivy $\rightarrow$ SARIF | 0 critical CVEs in Production | | Policy Enforcement | OPA Gatekeeper | Blockiert unsigned Images | \subsection{Automatisierte Patch-Pipeline} ``` CVE-Veröffentlichung (z.B. Log4j) Trivy-Scan detektiert CVE (automatisch) Alert an DevOps-Team (Slack/Email) Developer $\rightarrow$ Update Dependency $\rightarrow$ Push CI-Pipeline $\rightarrow$ Rebuild $\rightarrow$ Re-Scan $\rightarrow$ Re-Sign Argo CD $\rightarrow$ Auto-Sync (Air-Gapped nach 24h Sync) Deployed in <48h (gemessen: 36h) ``` \subsection{}Metriken \& Ergebnisse** | Metrik | Vorher | Nachher | Ziel | |--------|--------|---------|------| | Deployment-Zeit (Online) | 2h | 15min | kleiner gleich30min n | | Deployment-Zeit (Air-Gapped) | 1 Tag (manuell) | 30min (auto) | kleiner gleich45min n | | kritische CVEs in Production | unbekannt | 0 | 0 n | | Patch-Reaktionszeit | <7 Tage | 36h | kleiner gleich48h n | | Automatisierungsgrad | 40% | 92% | >90% n | **6.5 Lessons Learned** - Trivy-Database muss separat gemanagt werden (Air-Gapped) - Image-Signing fügt ~2min zu CI-Pipeline hinzu (akzeptabel) - Documentation ist kritisch für Air-Gapped-Setup ( Runbooks schreiben!) ***