[{"data":1,"prerenderedAt":774},["ShallowReactive",2],{"/de-de/blog/2025-owasp-top-10-whats-changed-and-why-it-matters":3,"navigation-de-de":35,"banner-de-de":438,"footer-de-de":448,"blog-post-authors-de-de-Fernando Diaz":653,"blog-related-posts-de-de-2025-owasp-top-10-whats-changed-and-why-it-matters":667,"next-steps-de-de":711,"blog-promotions-de-de":721},{"id":4,"title":5,"authorSlugs":6,"body":8,"categorySlug":9,"config":10,"content":14,"description":8,"extension":24,"isFeatured":12,"meta":25,"navigation":26,"path":27,"publishedDate":20,"seo":28,"stem":31,"tagSlugs":32,"__hash__":34},"blogPosts/de-de/blog/2025-owasp-top-10-whats-changed-and-why-it-matters.yml","2025 Owasp Top 10 Whats Changed And Why It Matters",[7],"fernando-diaz",null,"security",{"slug":11,"featured":12,"template":13},"2025-owasp-top-10-whats-changed-and-why-it-matters",false,"BlogPost",{"title":15,"description":16,"authors":17,"heroImage":19,"date":20,"category":9,"tags":21,"body":23},"OWASP Top 10 2025: Was sich geändert hat und warum es wichtig ist","Neue Supply-Chain- und Error-Handling-Risiken, Ranking-Verschiebungen und Remediation-Strategien für alle 10 Kategorien.",[18],"Fernando Diaz","https://res.cloudinary.com/about-gitlab-com/image/upload/v1759320418/xjmqcozxzt4frx0hori3.png","2026-02-17",[9,22],"open source","Die OWASP Foundation hat die [achte Edition ihrer einflussreichen „Top 10 Security Risks\"-Liste für 2025](https://owasp.org/Top10/2025/0x00_2025-Introduction/) veröffentlicht und führt bedeutende Änderungen ein, die die sich entwickelnde Landschaft der Applikationssicherheit widerspiegeln. Basierend auf der Analyse von mehr als 175.000 Common Vulnerabilities and Exposures (CVEs) und Feedback von Security-Praktikern weltweit adressiert dieses Update moderne Angriffsvektoren. Im Folgenden wird erläutert, was sich geändert hat, warum diese Änderungen wichtig sind und wie Systeme geschützt werden können.\n\n\n> :bulb: Am 10. Februar hat GitLab auf der Transcend gezeigt, wie Agentic AI Software Delivery transformiert – mit Kunden-Einblicken und Impulsen zur Modernisierung. [Mehr erfahren.](https://about.gitlab.com/de-de/events/transcend/virtual/)\n\n\n## Was ist neu in 2025?\n\nDie Verschiebung von 2021 (als die Liste zuletzt erschien) zu 2025 stellt mehr als kleine Anpassungen dar – es ist ein fundamentaler Wandel in der Applikationssicherheit. Zwei vollständig neue Kategorien wurden in die Liste aufgenommen und eine Kategorie in eine andere konsolidiert, was aufkommende Risiken hervorhebt, die traditionelle Tests oft übersehen.\n\nDiese Ergänzungen und Verschiebungen sind in der folgenden Grafik zu sehen:\n\n![OWASP Top 10 - Changes from 2021 to 2025](https://res.cloudinary.com/about-gitlab-com/image/upload/v1767639428/tbekzibeqylorwqrkdau.png)\n\n\n### Zwei neue Kategorien\n\n- **A03: Software Supply Chain Failures**: Erweitert die 2021-Kategorie „Vulnerable and Outdated Components\" um die gesamte Software-Supply-Chain, einschließlich Dependencies, Build-Systeme und Distributions-Infrastruktur. Trotz der geringsten Vorkommen in Testdaten hat diese Kategorie die höchsten durchschnittlichen Exploit- und Impact-Scores aus CVEs.\n\n- **A10: Mishandling of Exceptional Conditions**: Fokussiert auf fehlerhafte Error-Behandlung, logische Fehler und Failing-Open-Szenarien. Diese Kategorie adressiert, wie Systeme auf abnormale Bedingungen reagieren.\n\n### Wesentliche Ranking-Änderungen\n\n- Security Misconfiguration stieg von #5 (2021) auf #2 (2025) und betrifft nun 3 % der getesteten Applikationen.\n- Server-Side Request Forgery (SSRF) wurde in A01: Broken Access Control konsolidiert.\n- Cryptographic Failures fielen von #2 auf #4.\n- Injection fiel von #3 auf #5.\n- Insecure Design verschob sich von #4 auf #6.\n\n## Warum diese Änderungen vorgenommen wurden\n\nDie OWASP-Methodik kombiniert datengetriebene Analyse mit Community-Einblicken. Die 2025-Edition analysierte 589 Common Weakness Enumerations (CWEs) – eine substanzielle Steigerung gegenüber den etwa 400 CWEs in 2021. Diese Erweiterung reflektiert die wachsende Komplexität moderner Software-Systeme und die Notwendigkeit, aufkommende Bedrohungen zu erfassen.\n\nDie Community-Survey-Komponente adressiert eine fundamentale Einschränkung: Testdaten schauen im Wesentlichen in die Vergangenheit. Bis Security-Forschende Testmethoden entwickeln und in automatisierte Tools integrieren, können Jahre vergangen sein. Die beiden community-voted Kategorien stellen sicher, dass aufkommende Risiken, die von Praktikern an vorderster Front identifiziert wurden, eingeschlossen werden – selbst wenn sie noch nicht in automatisierten Testdaten verbreitet sind.\n\nDer Anstieg von Security Misconfiguration hebt einen Branchentrend zur konfigurationsbasierten Sicherheit hervor, während Software Supply Chain Failures den Anstieg ausgefeilter Angriffe auf kompromittierte Packages widerspiegelt.\n\n## GitLab Ultimate für Vulnerability-Detection und -Management nutzen\n\nGitLab Ultimate bietet umfassendes [Security-Scanning](https://docs.gitlab.com/user/application_security/detect/) zur Erkennung von Risiken über alle OWASP-Top-10-2025-Kategorien hinweg. Die End-to-End-Plattform analysiert Quellcode, Dependencies und Infrastrukturdefinitionen von Projekten. [Advanced Static Application Security Testing (SAST)](https://docs.gitlab.com/user/application_security/sast/gitlab_advanced_sast/) erkennt Injection-Schwachstellen, Cryptographic Failures und unsichere Design-Patterns im Quellcode. [Infrastructure as Code (IaC) Scanning](https://docs.gitlab.com/user/application_security/iac_scanning/) findet Security-Fehlkonfigurationen in Deployment-Definitionen. [Secret Detection](https://docs.gitlab.com/user/application_security/secret_detection/) verhindert das Leaken von Credentials, und [Dependency Scanning](https://docs.gitlab.com/user/application_security/dependency_scanning/) deckt Bibliotheken mit bekannten Schwachstellen in der Software-Supply-Chain auf – und adressiert damit direkt die neue A03-Kategorie für Software Supply Chain Failures.\n\nDarüber hinaus:\n\n* [Dynamic Application Security Testing (DAST)](https://docs.gitlab.com/user/application_security/dast/) testet die deployten Applikationen auf Broken Access Control, Authentication Failures und Injection-Schwachstellen durch Simulation von Angriffsvektoren.\n* [API Security Testing](https://docs.gitlab.com/user/application_security/api_security/) prüft API-Endpoints auf Input-Validation-Schwächen und Authentication-Bypasses.\n* [Web API Fuzz Testing](https://docs.gitlab.com/user/application_security/api_fuzzing/) deckt auf, wie Applikationen mit Ausnahmebedingungen umgehen, indem unerwartete Inputs generiert werden – und adressiert damit direkt die neue A10-Kategorie für Mishandling of Exceptional Conditions.\n\nSecurity-Scanning integriert sich nahtlos in die [CI/CD-Pipeline](https://about.gitlab.com/de-de/topics/ci-cd/) und läuft beim Push von einem Feature-Branch, sodass Entwicklungsteams Schwachstellen beheben können, bevor sie Production erreichen. Security-Ergebnisse werden im [Vulnerability Report](https://docs.gitlab.com/user/application_security/vulnerability_report/) konsolidiert, wo Security-Teams triagieren, analysieren und die Behebung nachverfolgen können. GitLab ermöglicht außerdem den Einsatz von KI-Agents wie dem [Security Analyst Agent](https://about.gitlab.com/de-de/blog/vulnerability-triage-made-simple-with-gitlab-security-analyst-agent/) in der GitLab Duo Agent Platform, um die kritischsten Schwachstellen und die erforderlichen Maßnahmen schnell zu identifizieren.\n\nZusätzliche Kontrollen lassen sich über [Merge-Request-Approval-Policies](https://docs.gitlab.com/user/application_security/policies/merge_request_approval_policies/) und [Pipeline-Execution-Policies](https://docs.gitlab.com/user/application_security/policies/pipeline_execution_policies/) durchsetzen, um sicherzustellen, dass Security-Scanning konsistent in der gesamten Organisation ausgeführt wird. Customer-Success- und Professional-Services-Teams bei GitLab unterstützen dabei, den Wert einer GitLab-Investition zeitnah zu realisieren.\n\nSichere Software mit Security-Testing in derselben Plattform bereitstellen, die Entwicklungsteams bereits nutzen. Mehr dazu auf der [Application Security Testing Solutions-Seite](https://about.gitlab.com/de-de/solutions/application-security-testing/).\n\n## Die OWASP Top 10 2025: Vollständige Aufschlüsselung\n\n### A01: Broken Access Control\n\n##### Was es ist\n\nFehler bei der Durchsetzung von Richtlinien, die verhindern, dass Nutzende außerhalb ihrer vorgesehenen Berechtigungen handeln – was zu unbefugtem Zugriff führt.\n\n##### Auswirkungen auf das System\n\n- Unbefugte Informationsoffenlegung\n- Vollständige Datenzerstörung oder -modifikation\n- Privilege Escalation (Nutzende erlangen Admin-Rechte)\n- Einsehen oder Bearbeiten der Accounts anderer Nutzender\n- API-Zugriff von nicht autorisierten oder nicht vertrauenswürdigen Quellen\n\n##### Relevante CWEs\n\n- [CWE-22: Path Traversal](https://cwe.mitre.org/data/definitions/22.html)\n- [CWE-200: Exposure of Sensitive Information to an Unauthorized Actor](https://cwe.mitre.org/data/definitions/200.html)\n- [CWE-352: Cross-Site Request Forgery (CSRF)](https://cwe.mitre.org/data/definitions/352.html)\n\n### A02: Security Misconfiguration\n\n##### Was es ist\n\nSysteme, Applikationen oder Cloud-Services, die aus Security-Perspektive fehlerhaft konfiguriert sind.\n\n##### Auswirkungen auf das System\n\n- Offenlegung sensibler Informationen durch Fehlermeldungen\n- Unbefugter Zugriff über Default-Accounts\n- Unnötige Services oder Features aktiviert\n- Veraltete Security-Patches\n- Server sendet keine Security-Header oder -Direktiven\n\n##### Relevante CWEs\n\n- [CWE-16: Configuration](https://cwe.mitre.org/data/definitions/16.html)\n- [CWE-521: Weak Password Requirements](https://cwe.mitre.org/data/definitions/521.html)\n- [CWE-798: Use of Hard-coded Credentials](https://cwe.mitre.org/data/definitions/798.html)\n\n### A03: Software Supply Chain Failures\n\n##### Was es ist\n\nAusfälle oder Kompromittierungen beim Erstellen, Verteilen oder Aktualisieren von Software – durch Schwachstellen oder böswillige Änderungen in Dependencies, Tools oder Build-Prozessen.\n\n##### Auswirkungen auf das System\n\n- Kompromittierte Packages, die Backdoors einschleusen\n- Schädlicher Code, der während Build-Prozessen injiziert wird\n- Verwundbare Dependencies, die sich durch die Applikation kaskadieren\n- Nutzung von Komponenten aus nicht vertrauenswürdigen Quellen in Production\n- Änderungen in der Supply Chain werden nicht nachverfolgt\n\n##### Relevante CWEs\n\n- [CWE-1395: Dependency on Vulnerable Third-Party Component](https://cwe.mitre.org/data/definitions/1395.html)\n- [CWE-1104: Use of Unmaintained Third Party Components](https://cwe.mitre.org/data/definitions/1104.html)\n\n### A04: Cryptographic Failures\n\n##### Was es ist\n\nFehler im Zusammenhang mit fehlender Kryptographie, unzureichend starker Kryptographie, Leaking von kryptographischen Schlüsseln und verwandten Fehlern.\n\n##### Auswirkungen auf das System\n\n- Offenlegung sensibler Daten (Passwörter, Kreditkarten, Gesundheitsdaten)\n- Man-in-the-Middle-Angriffe\n- Datenpanne durch schwache Verschlüsselung\n- Schlüssel-Kompromittierung mit systemweiter Exposition\n- Verstoß gegen regulatorische Compliance-Anforderungen (DSGVO, PCI DSS)\n\n##### Relevante CWEs\n\n- [CWE-327: Use of a Broken or Risky Cryptographic Algorithm](https://cwe.mitre.org/data/definitions/327.html)\n- [CWE-330: Use of Insufficiently Random Values](https://cwe.mitre.org/data/definitions/330.html)\n\n### A05: Injection\n\n##### Was es ist\n\nSystemschwachstellen, die es Angreifenden ermöglichen, Schadcode oder -befehle (SQL, NoSQL, OS-Befehle, LDAP usw.) in Programme einzuschleusen.\n\n##### Auswirkungen auf das System\n\n- Datenverlust oder -korruption durch SQL-Injection\n- Vollständige Datenbank-Kompromittierung\n- Server-Übernahme durch Command-Injection\n- Cross-Site-Scripting-(XSS)-Angriffe\n- Informationsoffenlegung\n- Denial of Service\n\n##### Relevante CWEs\n\n- [CWE-89: SQL Injection](https://cwe.mitre.org/data/definitions/89.html)\n- [CWE-78: OS Command Injection](https://cwe.mitre.org/data/definitions/78.html)\n\n### A06: Insecure Design\n\n##### Was es ist\n\nSchwächen im Design, die verschiedene Fehler repräsentieren – ausgedrückt als fehlendes oder unwirksames Kontrolldesign. Architekturelle Mängel statt Implementierungs-Bugs.\n\n##### Auswirkungen auf das System\n\n- Schwache Passwort-Reset-Flows\n- Fehlende Autorisierungsschritte\n- Fehlerhafte Business-Logik, die Umgehungen ermöglicht\n- Unzureichendes Threat Modeling, das blinde Flecken erzeugt\n- Design-Patterns, die unter Angriffsszenarien versagen\n\n##### Relevante CWEs\n\n- [CWE-209: Generation of Error Messages Containing Sensitive Information](https://cwe.mitre.org/data/definitions/209.html)\n- [CWE-522: Insufficiently Protected Credentials](https://cwe.mitre.org/data/definitions/522.html)\n- [CWE-656: Reliance on Security Through Obscurity](https://cwe.mitre.org/data/definitions/656.html)\n\n### A07: Authentication Failures\n\n##### Was es ist\n\nSchwachstellen, die es Angreifenden ermöglichen, Systeme dazu zu bringen, ungültige oder fehlerhafte Identitäten als legitim zu erkennen.\n\n##### Auswirkungen auf das System\n\n- Account-Übernahme und Credential Stuffing\n- Session Hijacking\n- Erfolgreiche Brute-Force-Angriffe\n- Ausnutzung schwacher Passwort-Recovery-Mechanismen\n- Multi-Faktor-Authentifizierungs-Bypass\n\n##### Relevante CWEs\n\n- [CWE-287: Improper Authentication](https://cwe.mitre.org/data/definitions/287.html)\n- [CWE-306: Missing Authentication for Critical Function](https://cwe.mitre.org/data/definitions/306.html)\n- [CWE-521: Weak Password Requirements](https://cwe.mitre.org/data/definitions/521.html)\n\n### A08: Software or Data Integrity Failures\n\n##### Was es ist\n\nCode und Infrastruktur, die nicht verhindern, dass ungültiger oder nicht vertrauenswürdiger Code/Daten als vertrauenswürdig und valide behandelt werden.\n\n##### Auswirkungen auf das System\n\n- Unsignierte Updates, die Schadcode-Injection ermöglichen\n- Insecure Deserialization, die zu Remote Code Execution führt\n- CI/CD-Pipeline-Kompromittierung\n- Ausnutzung von Auto-Update-Mechanismen\n- Manipulierte Software-Artefakte\n\n##### Relevante CWEs\n\n- [CWE-345: Insufficient Verification of Data Authenticity](https://cwe.mitre.org/data/definitions/345.html)\n- [CWE-346: Origin Validation Error](https://cwe.mitre.org/data/definitions/346.html)\n- [CWE-347: Improper Verification of Cryptographic Signature](https://cwe.mitre.org/data/definitions/347.html)\n\n### A09: Security Logging & Alerting Failures\n\n##### Was es ist\n\nUnzureichendes Logging und Monitoring mit inadäquatem Alerting, was schnelle Reaktion erschwert.\n\n##### Auswirkungen auf das System\n\n- Angriffe bleiben über längere Zeiträume unentdeckt\n- Breach-Investigation wird unmöglich\n- Compliance-Verstöße durch fehlende Audit-Trails\n- Verzögerte Incident-Response\n- Unfähigkeit, das Ausmaß einer Kompromittierung zu bestimmen\n\n##### Relevante CWEs\n\n- [CWE-117: Improper Output Neutralization for Logs](https://cwe.mitre.org/data/definitions/117.html)\n- [CWE-532: Insertion of Sensitive Information into Log File](https://cwe.mitre.org/data/definitions/532.html)\n- [CWE-778: Insufficient Logging](https://cwe.mitre.org/data/definitions/778.html)\n\n### A10: Mishandling of Exceptional Conditions\n\n##### Was es ist\n\nProgramme, die ungewöhnliche und unvorhersehbare Situationen nicht verhindern, erkennen und darauf reagieren – was zu Abstürzen, unerwartetem Verhalten oder Schwachstellen führt.\n\n##### Auswirkungen auf das System\n\n- Informationsoffenlegung durch zu detaillierte Fehlermeldungen\n- Denial of Service durch unbehandelte Exceptions\n- Zustandskorruption durch fehlerhafte Error-Behandlung\n- Ausnutzung von Race Conditions\n- Systeme, die bei Fehlern offen statt geschlossen schalten\n- Applikationsabstürze, die sensible Daten exponieren\n\n##### Relevante CWEs\n\n- [CWE-248: Uncaught Exception](https://cwe.mitre.org/data/definitions/248.html)\n- [CWE-390: Detection of Error Condition Without Action](https://cwe.mitre.org/data/definitions/390.html)\n- [CWE-391: Unchecked Error Condition](https://cwe.mitre.org/data/definitions/391.html)\n\n## Best Practices für Prävention und Remediation\n\nGitLab bietet Tools, die nicht nur das schnelle Finden und Beheben von Schwachstellen innerhalb der OWASP Top 10 ermöglichen, sondern auch deren Eintritt in das Production-System verhindern. Durch Befolgen dieser Best Practices lässt sich die Security-Posture verbessern und aufrechterhalten:\n\n#### Automatisiertes Security-Scanning für alle Repositories\n\n- [SAST-Scanning](https://docs.gitlab.com/user/application_security/sast/) durchführen, um unsichere Design-Patterns wie Klartext-Passwortspeicherung, inadäquates Error-Handling und fehlende Verschlüsselung während Code-Reviews zu erkennen – Design-Fehler werden früh im Entwicklungszyklus aufgefangen.\n- [Secret Detection](https://docs.gitlab.com/user/application_security/secret_detection/) durchführen, um Credentials in Konfigurationsdateien, Umgebungsvariablen und Code zu identifizieren – dies verhindert Klartext-Passwortspeicherung und stellt sicher, dass Secrets ordnungsgemäß über GitLab-CI/CD-Variablen mit Masking und Verschlüsselung verwaltet werden.\n- [DAST-Scanning](https://docs.gitlab.com/user/application_security/dast/) durchführen, um Broken-Access-Control-Schwachstellen zu erkennen.\n- [Dependency Scanning](https://docs.gitlab.com/user/application_security/dependency_scanning/) durchführen, um Projekt-Dependencies gegen Schwachstellen-Datenbanken zu scannen und bekannte CVEs in direkten und transitiven Dependencies über mehrere Package-Manager (npm, pip, Maven usw.) zu identifizieren.\n- [Container Scanning](https://docs.gitlab.com/user/application_security/container_scanning/) durchführen, um Docker-Images auf verwundbare Base-Layer und Packages zu analysieren und die Container-Supply-Chain-Sicherheit vor dem Deployment sicherzustellen.\n- [IaC-Scanning](https://docs.gitlab.com/user/application_security/iac_scanning/) durchführen, um Infrastruktur-Definitionsdateien auf bekannte Schwachstellen zu prüfen.\n- [API-Security-Tools](https://docs.gitlab.com/user/application_security/api_security/) nutzen, um Web-APIs vor unbefugtem Zugriff, Missbrauch und Angriffen zu schützen.\n- [Web API Fuzz Testing](https://docs.gitlab.com/user/application_security/api_fuzzing/) durchführen, um Bugs und potenzielle Schwachstellen zu entdecken, die andere QA-Prozesse übersehen könnten.\n\n![Security Results in MR](https://res.cloudinary.com/about-gitlab-com/image/upload/v1767639431/zs6xh8hz6mud3vuig3dy.png)\n\u003Cp>\u003C/p>\n\u003Ccenter>\u003Ci>Erkannte Schwachstellen im MR mit Diff von Feature-Branch zu Main-Branch anzeigen.\u003C/i>\u003C/center>\n\n#### Die Security-Posture verstehen\n\n- Eine [Software Bill of Materials (SBOM)](https://docs.gitlab.com/user/application_security/dependency_list/) generieren für vollständige Dependency-Transparenz und Compliance-Anforderungen.\n- Den [Vulnerability Report](https://docs.gitlab.com/user/application_security/vulnerability_report/) nutzen, um Schwachstellen über eine konsolidierte Ansicht der im Codebase gefundenen Security-Vulnerabilities zu triagieren.\n- Mit [detaillierter Remediation-Anleitung](https://docs.gitlab.com/user/application_security/vulnerabilities/) und [Risk-Assessment-Daten](https://docs.gitlab.com/user/application_security/vulnerabilities/risk_assessment_data/) schnell auf Schwachstellen reagieren.\n- [Security Inventory](https://docs.gitlab.com/user/application_security/security_inventory/) nutzen, um zu visualisieren, welche Assets geschützt werden müssen und welche Maßnahmen zur Verbesserung der Sicherheit erforderlich sind.\n- [Compliance Center](https://docs.gitlab.com/user/compliance/compliance_center/) nutzen, um Compliance-Standards-Adherence-Reporting, Violations-Reporting und Compliance-Frameworks zu verwalten.\n\n![Security Inventory](https://res.cloudinary.com/about-gitlab-com/image/upload/v1767639429/e9vnakc8yiyjbjm8aj7s.png)\n\u003Cp>\u003C/p>\n\u003Ccenter>\u003Ci>Security Inventory nutzen, um aktivierte Security-Scanner und Schwachstellen einzusehen.\u003C/i>\u003C/center>\n\n#### Prävention einrichten und Dokumentation pflegen\n\n- [Security Policies](https://docs.gitlab.com/user/application_security/policies/) konfigurieren, um Merges oder Deployments zu blockieren, wenn hochgradig kritische Schwachstellen in Dependencies erkannt werden – Security-Standards werden automatisch durchgesetzt.\n- [Compliance Frameworks](https://docs.gitlab.com/user/compliance/compliance_frameworks/) nutzen, um organisationsweite Security-Standards durch automatisierte Policy-Checks durchzusetzen, die Verschlüsselungsanforderungen, Credential-Management-Praktiken und sichere Workflow-Implementierungen verifizieren.\n- GitLab Wiki und Repository-Dokumentation nutzen, um Security-Design-Prinzipien, genehmigte Patterns und Architectural Decision Records zu pflegen, die Entwicklungsteams zu [Secure-by-Design-Implementierungen](https://about.gitlab.com/de-de/blog/last-year-we-signed-the-secure-by-design-pledge-heres-our-progress/) anleiten.\n- Merge-Request-Approval-Rules implementieren, die ein Security-Architect-Review für Features erfordern, die Authentication, Authorization, Verschlüsselung oder sensible Datenverarbeitung betreffen – so wird Security-Validierung auf Design-Ebene sichergestellt.\n- Tests erstellen, um Input-Validation und Allowlist-Ansätze für Dateipfade zu verifizieren.\n- GitLab Issues und Epics nutzen, um Security-Anforderungen und Threat Models in der Design-Phase zu dokumentieren – dies schafft eine nachvollziehbare Aufzeichnung von Security-Entscheidungen und stellt sicher, dass Security-Überlegungen vor Implementierungsbeginn adressiert werden.\n\n![Security Policy Dashboard](https://res.cloudinary.com/about-gitlab-com/image/upload/v1767639429/q4eelq3rqt0oonzhwoyb.png)\n\u003Ccenter>\u003Ci>Security Policies auf Instanz-, Gruppen- oder Projektebene anzeigen und festlegen.\u003C/i>\u003C/center>\n\n#### KI nutzen\n\n- [Code Suggestions](https://docs.gitlab.com/user/project/repository/code_suggestions/) für proaktive Guidance während der Entwicklung nutzen – mit Vorschlägen für sichere Design-Patterns wie korrektes Password-Hashing (bcrypt, Argon2), verschlüsselte Speichermechanismen und angemessenes Error-Handling, das keine sensiblen Informationen preisgibt.\n- [Security Analyst Agent](https://docs.gitlab.com/user/duo_agent_platform/agents/foundational_agents/security_analyst_agent/) nutzen, um erkannte Insecure-Design-Schwachstellen im Kontext zu bewerten – mit Erklärung der architekturellen Implikationen, Risikobewertung basierend auf dem Threat Model der Applikation und Remediation-Strategien, die grundlegende Design-Fehler statt nur Symptome adressieren.\n- [Code mit KI reviewen lassen](https://docs.gitlab.com/user/project/merge_requests/duo_in_merge_requests/#have-gitlab-duo-review-your-code), um konsistente Code-Review-Standards im Projekt sicherzustellen.\n\n![GitLab Security Analyst Agent](https://res.cloudinary.com/about-gitlab-com/image/upload/v1767639430/kqvgagepwleabt5zdkco.png)\n\u003Cp>\u003C/p>\n\u003Ccenter>\u003Ci>Security Analyst Agent nutzen, um Security-Schwachstellen schnell zu triagieren und zu bewerten.\u003C/i>\u003C/center>\n\n## Kernaussagen für Entwicklungsteams\n\n- **Supply-Chain-Sicherheit ist entscheidend**: Mit der Aufnahme von A03 und den hohen Impact-Scores ist die Absicherung der Software-Supply-Chain keine Option mehr. SBOM-Tracking, Dependency-Scanning und Integritätsprüfung sollten durchgängig in der Pipeline implementiert werden.\n- **Konfiguration ist wichtiger denn je**: Der Aufstieg auf #2 zeigt, dass konfigurationsbasierte Sicherheit nun ein primärer Angriffsvektor ist. Konfigurationsverifizierung automatisieren und IaC mit integrierter Security implementieren.\n- **Traditionelle Bedrohungen bestehen fort**: Obwohl Injection und Cryptographic Failures im Ranking gefallen sind, bleiben sie kritisch. Die Priorisierung nicht reduzieren, nur weil sie in der Liste gefallen sind.\n- **Error-Handling ist Security**: Die neue A10-Kategorie unterstreicht, dass der Umgang der Applikation mit Fehlern ein Security-Thema ist. Sicheres Error-Handling von Beginn an implementieren.\n- **Testing muss sich weiterentwickeln**: Die erweiterte CWE-Abdeckung (589 vs. 400 in 2021) bedeutet, dass Testing-Strategien umfassend sein müssen. SAST, DAST, Quellcode-Analyse und manuelles Penetration-Testing für effektive Abdeckung kombinieren.\n\n> Die [GitLab Security and Governance Solutions](https://about.gitlab.com/de-de/solutions/application-security-testing/) und die [Security-Scanning-Dokumentation](https://docs.gitlab.com/ee/user/application_security/) bieten weitere Informationen zur Stärkung der Security-Posture.\n","yml",{},true,"/de-de/blog/2025-owasp-top-10-whats-changed-and-why-it-matters",{"title":29,"description":30},"OWASP Top 10 2025: Änderungen & Bedeutung","Supply-Chain-Failures & Error-Handling neu, Security Misconfiguration #2. Alle 10 OWASP-2025-Kategorien mit Remediation-Strategien und GitLab-Abdeckung.","de-de/blog/2025-owasp-top-10-whats-changed-and-why-it-matters",[9,33],"open-source","1xauQJecsoZyoX-DfHMEk4KF3AfQ-dHX9ftkyCDqemU",{"data":36},{"logo":37,"freeTrial":42,"sales":47,"login":52,"items":57,"search":366,"minimal":401,"duo":419,"pricingDeployment":428},{"config":38},{"href":39,"dataGaName":40,"dataGaLocation":41},"/de-de/","gitlab logo","header",{"text":43,"config":44},"Kostenlose Testversion anfordern",{"href":45,"dataGaName":46,"dataGaLocation":41},"https://gitlab.com/-/trial_registrations/new?glm_source=about.gitlab.com/de-de&glm_content=default-saas-trial/","free trial",{"text":48,"config":49},"Vertrieb kontaktieren",{"href":50,"dataGaName":51,"dataGaLocation":41},"/de-de/sales/","sales",{"text":53,"config":54},"Anmelden",{"href":55,"dataGaName":56,"dataGaLocation":41},"https://gitlab.com/users/sign_in/","sign in",[58,85,181,186,287,347],{"text":59,"config":60,"cards":62},"Plattform",{"dataNavLevelOne":61},"platform",[63,69,77],{"title":59,"description":64,"link":65},"Die intelligente Orchestrierungsplattform für DevSecOps",{"text":66,"config":67},"Erkunde unsere Plattform",{"href":68,"dataGaName":61,"dataGaLocation":41},"/de-de/platform/",{"title":70,"description":71,"link":72},"GitLab Duo Agent Platform","Agentische KI für den gesamten Softwareentwicklungszyklus",{"text":73,"config":74},"Lerne GitLab Duo kennen",{"href":75,"dataGaName":76,"dataGaLocation":41},"/de-de/gitlab-duo-agent-platform/","gitlab duo agent platform",{"title":78,"description":79,"link":80},"Gründe, die für GitLab sprechen","Erfahre, warum Unternehmen auf GitLab setzen",{"text":81,"config":82},"Mehr erfahren",{"href":83,"dataGaName":84,"dataGaLocation":41},"/de-de/why-gitlab/","why gitlab",{"text":86,"left":26,"config":87,"link":89,"lists":93,"footer":163},"Produkt",{"dataNavLevelOne":88},"solutions",{"text":90,"config":91},"Alle Lösungen anzeigen",{"href":92,"dataGaName":88,"dataGaLocation":41},"/de-de/solutions/",[94,119,141],{"title":95,"description":96,"link":97,"items":102},"Automatisierung","CI/CD und Automatisierung zur Beschleunigung der Bereitstellung",{"config":98},{"icon":99,"href":100,"dataGaName":101,"dataGaLocation":41},"AutomatedCodeAlt","/de-de/solutions/delivery-automation/","automated software delivery",[103,107,110,115],{"text":104,"config":105},"CI/CD",{"href":106,"dataGaLocation":41,"dataGaName":104},"/de-de/solutions/continuous-integration/",{"text":70,"config":108},{"href":75,"dataGaLocation":41,"dataGaName":109},"gitlab duo agent platform - product menu",{"text":111,"config":112},"Quellcodeverwaltung",{"href":113,"dataGaLocation":41,"dataGaName":114},"/de-de/solutions/source-code-management/","Source Code Management",{"text":116,"config":117},"Automatisierte Softwarebereitstellung",{"href":100,"dataGaLocation":41,"dataGaName":118},"Automated software delivery",{"title":120,"description":121,"link":122,"items":127},"Sicherheit","Entwickle schneller, ohne die Sicherheit zu gefährden",{"config":123},{"href":124,"dataGaName":125,"dataGaLocation":41,"icon":126},"/de-de/solutions/application-security-testing/","security and compliance","ShieldCheckLight",[128,132,137],{"text":129,"config":130},"Application Security Testing",{"href":124,"dataGaName":131,"dataGaLocation":41},"Application security testing",{"text":133,"config":134},"Schutz der Software-Lieferkette",{"href":135,"dataGaLocation":41,"dataGaName":136},"/de-de/solutions/supply-chain/","Software supply chain security",{"text":138,"config":139},"Software Compliance",{"href":140,"dataGaName":138,"dataGaLocation":41},"/de-de/solutions/software-compliance/",{"title":142,"link":143,"items":148},"Bewertung",{"config":144},{"icon":145,"href":146,"dataGaName":147,"dataGaLocation":41},"DigitalTransformation","/de-de/solutions/visibility-measurement/","visibility and measurement",[149,153,158],{"text":150,"config":151},"Sichtbarkeit und Bewertung",{"href":146,"dataGaLocation":41,"dataGaName":152},"Visibility and Measurement",{"text":154,"config":155},"Wertstrommanagement",{"href":156,"dataGaLocation":41,"dataGaName":157},"/de-de/solutions/value-stream-management/","Value Stream Management",{"text":159,"config":160},"Analysen und Einblicke",{"href":161,"dataGaLocation":41,"dataGaName":162},"/de-de/solutions/analytics-and-insights/","Analytics and insights",{"title":164,"items":165},"GitLab für",[166,171,176],{"text":167,"config":168},"Enterprise",{"href":169,"dataGaLocation":41,"dataGaName":170},"/de-de/enterprise/","enterprise",{"text":172,"config":173},"Kleinunternehmen",{"href":174,"dataGaLocation":41,"dataGaName":175},"/de-de/small-business/","small business",{"text":177,"config":178},"den öffentlichen Sektor",{"href":179,"dataGaLocation":41,"dataGaName":180},"/de-de/solutions/public-sector/","public sector",{"text":182,"config":183},"Preise",{"href":184,"dataGaName":185,"dataGaLocation":41,"dataNavLevelOne":185},"/de-de/pricing/","pricing",{"text":187,"config":188,"link":190,"lists":194,"feature":274},"Ressourcen",{"dataNavLevelOne":189},"resources",{"text":191,"config":192},"Alle Ressourcen anzeigen",{"href":193,"dataGaName":189,"dataGaLocation":41},"/de-de/resources/",[195,228,246],{"title":196,"items":197},"Erste Schritte",[198,203,208,213,218,223],{"text":199,"config":200},"Installieren",{"href":201,"dataGaName":202,"dataGaLocation":41},"/de-de/install/","install",{"text":204,"config":205},"Kurzanleitungen",{"href":206,"dataGaName":207,"dataGaLocation":41},"/de-de/get-started/","quick setup checklists",{"text":209,"config":210},"Lernen",{"href":211,"dataGaLocation":41,"dataGaName":212},"https://university.gitlab.com/","learn",{"text":214,"config":215},"Produktdokumentation",{"href":216,"dataGaName":217,"dataGaLocation":41},"https://docs.gitlab.com/","product documentation",{"text":219,"config":220},"Best-Practice-Videos",{"href":221,"dataGaName":222,"dataGaLocation":41},"/de-de/getting-started-videos/","best practice videos",{"text":224,"config":225},"Integrationen",{"href":226,"dataGaName":227,"dataGaLocation":41},"/de-de/integrations/","integrations",{"title":229,"items":230},"Entdecken",[231,236,241],{"text":232,"config":233},"Kundenerfolge",{"href":234,"dataGaName":235,"dataGaLocation":41},"/de-de/customers/","customer success stories",{"text":237,"config":238},"Blog",{"href":239,"dataGaName":240,"dataGaLocation":41},"/de-de/blog/","blog",{"text":242,"config":243},"Remote",{"href":244,"dataGaName":245,"dataGaLocation":41},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"title":247,"items":248},"Vernetzen",[249,254,259,264,269],{"text":250,"config":251},"GitLab-Services",{"href":252,"dataGaName":253,"dataGaLocation":41},"/de-de/services/","services",{"text":255,"config":256},"Community",{"href":257,"dataGaName":258,"dataGaLocation":41},"/community/","community",{"text":260,"config":261},"Forum",{"href":262,"dataGaName":263,"dataGaLocation":41},"https://forum.gitlab.com/","forum",{"text":265,"config":266},"Veranstaltungen",{"href":267,"dataGaName":268,"dataGaLocation":41},"/events/","events",{"text":270,"config":271},"Partner",{"href":272,"dataGaName":273,"dataGaLocation":41},"/de-de/partners/","partners",{"backgroundColor":275,"textColor":276,"text":277,"image":278,"link":282},"#2f2a6b","#fff","Perspektiven für die Softwareentwicklung der Zukunft",{"altText":279,"config":280},"the source promo card",{"src":281},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758208064/dzl0dbift9xdizyelkk4.svg",{"text":283,"config":284},"Lies die News",{"href":285,"dataGaName":286,"dataGaLocation":41},"/de-de/the-source/","the source",{"text":288,"config":289,"lists":291},"Unternehmen",{"dataNavLevelOne":290},"company",[292],{"items":293},[294,299,305,307,312,317,322,327,332,337,342],{"text":295,"config":296},"Über",{"href":297,"dataGaName":298,"dataGaLocation":41},"/de-de/company/","about",{"text":300,"config":301,"footerGa":304},"Karriere",{"href":302,"dataGaName":303,"dataGaLocation":41},"/jobs/","jobs",{"dataGaName":303},{"text":265,"config":306},{"href":267,"dataGaName":268,"dataGaLocation":41},{"text":308,"config":309},"Geschäftsführung",{"href":310,"dataGaName":311,"dataGaLocation":41},"/company/team/e-group/","leadership",{"text":313,"config":314},"Team",{"href":315,"dataGaName":316,"dataGaLocation":41},"/company/team/","team",{"text":318,"config":319},"Handbuch",{"href":320,"dataGaName":321,"dataGaLocation":41},"https://handbook.gitlab.com/","handbook",{"text":323,"config":324},"Investor Relations",{"href":325,"dataGaName":326,"dataGaLocation":41},"https://ir.gitlab.com/","investor relations",{"text":328,"config":329},"Trust Center",{"href":330,"dataGaName":331,"dataGaLocation":41},"/de-de/security/","trust center",{"text":333,"config":334},"AI Transparency Center",{"href":335,"dataGaName":336,"dataGaLocation":41},"/de-de/ai-transparency-center/","ai transparency center",{"text":338,"config":339},"Newsletter",{"href":340,"dataGaName":341,"dataGaLocation":41},"/company/contact/#contact-forms","newsletter",{"text":343,"config":344},"Presse",{"href":345,"dataGaName":346,"dataGaLocation":41},"/press/","press",{"text":348,"config":349,"lists":350},"Kontakt",{"dataNavLevelOne":290},[351],{"items":352},[353,356,361],{"text":48,"config":354},{"href":50,"dataGaName":355,"dataGaLocation":41},"talk to sales",{"text":357,"config":358},"Support-Portal",{"href":359,"dataGaName":360,"dataGaLocation":41},"https://support.gitlab.com","support portal",{"text":362,"config":363},"Kundenportal",{"href":364,"dataGaName":365,"dataGaLocation":41},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"close":367,"login":368,"suggestions":375},"Schließen",{"text":369,"link":370},"Um Repositories und Projekte zu durchsuchen, melde dich an bei",{"text":371,"config":372},"gitlab.com",{"href":55,"dataGaName":373,"dataGaLocation":374},"search login","search",{"text":376,"default":377},"Vorschläge",[378,380,385,387,392,397],{"text":70,"config":379},{"href":75,"dataGaName":70,"dataGaLocation":374},{"text":381,"config":382},"Code Suggestions (KI)",{"href":383,"dataGaName":384,"dataGaLocation":374},"/de-de/solutions/code-suggestions/","Code Suggestions (AI)",{"text":104,"config":386},{"href":106,"dataGaName":104,"dataGaLocation":374},{"text":388,"config":389},"GitLab auf AWS",{"href":390,"dataGaName":391,"dataGaLocation":374},"/de-de/partners/technology-partners/aws/","GitLab on AWS",{"text":393,"config":394},"GitLab auf Google Cloud",{"href":395,"dataGaName":396,"dataGaLocation":374},"/de-de/partners/technology-partners/google-cloud-platform/","GitLab on Google Cloud",{"text":398,"config":399},"Warum GitLab?",{"href":83,"dataGaName":400,"dataGaLocation":374},"Why GitLab?",{"freeTrial":402,"mobileIcon":407,"desktopIcon":412,"secondaryButton":415},{"text":403,"config":404},"Kostenlos testen",{"href":405,"dataGaName":46,"dataGaLocation":406},"https://gitlab.com/-/trials/new/","nav",{"altText":408,"config":409},"GitLab-Symbol",{"src":410,"dataGaName":411,"dataGaLocation":406},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758203874/jypbw1jx72aexsoohd7x.svg","gitlab icon",{"altText":408,"config":413},{"src":414,"dataGaName":411,"dataGaLocation":406},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1758203875/gs4c8p8opsgvflgkswz9.svg",{"text":196,"config":416},{"href":417,"dataGaName":418,"dataGaLocation":406},"https://gitlab.com/-/trial_registrations/new?glm_source=about.gitlab.com/de-de/get-started/","get started",{"freeTrial":420,"mobileIcon":424,"desktopIcon":426},{"text":421,"config":422},"Erfahre mehr über GitLab Duo",{"href":75,"dataGaName":423,"dataGaLocation":406},"gitlab duo",{"altText":408,"config":425},{"src":410,"dataGaName":411,"dataGaLocation":406},{"altText":408,"config":427},{"src":414,"dataGaName":411,"dataGaLocation":406},{"freeTrial":429,"mobileIcon":434,"desktopIcon":436},{"text":430,"config":431},"Zurück zur Preisübersicht",{"href":184,"dataGaName":432,"dataGaLocation":406,"icon":433},"back to pricing","GoBack",{"altText":408,"config":435},{"src":410,"dataGaName":411,"dataGaLocation":406},{"altText":408,"config":437},{"src":414,"dataGaName":411,"dataGaLocation":406},{"title":439,"button":440,"config":445},"Sieh dir an, wie agentische KI die Softwarebereitstellung transformiert",{"text":441,"config":442},"GitLab Transcend jetzt ansehen",{"href":443,"dataGaName":444,"dataGaLocation":41},"/de-de/events/transcend/virtual/","transcend event",{"layout":446,"icon":447,"disabled":26},"release","AiStar",{"data":449},{"text":450,"source":451,"edit":457,"contribute":462,"config":467,"items":472,"minimal":645},"Git ist eine Marke von Software Freedom Conservancy und unsere Verwendung von „GitLab“ erfolgt unter Lizenz.",{"text":452,"config":453},"Quelltext der Seite anzeigen",{"href":454,"dataGaName":455,"dataGaLocation":456},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":458,"config":459},"Diese Seite bearbeiten",{"href":460,"dataGaName":461,"dataGaLocation":456},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":463,"config":464},"Beteilige dich",{"href":465,"dataGaName":466,"dataGaLocation":456},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":468,"facebook":469,"youtube":470,"linkedin":471},"https://x.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[473,496,551,578,612],{"title":59,"links":474,"subMenu":479},[475],{"text":476,"config":477},"DevSecOps-Plattform",{"href":68,"dataGaName":478,"dataGaLocation":456},"devsecops platform",[480],{"title":182,"links":481},[482,486,491],{"text":483,"config":484},"Tarife anzeigen",{"href":184,"dataGaName":485,"dataGaLocation":456},"view plans",{"text":487,"config":488},"Vorteile von Premium",{"href":489,"dataGaName":490,"dataGaLocation":456},"/de-de/pricing/premium/","why premium",{"text":492,"config":493},"Vorteile von Ultimate",{"href":494,"dataGaName":495,"dataGaLocation":456},"/de-de/pricing/ultimate/","why ultimate",{"title":497,"links":498},"Lösungen",[499,504,507,509,514,519,523,526,529,534,536,538,541,546],{"text":500,"config":501},"Digitale Transformation",{"href":502,"dataGaName":503,"dataGaLocation":456},"/de-de/topics/digital-transformation/","digital transformation",{"text":505,"config":506},"Sicherheit und Compliance",{"href":124,"dataGaName":131,"dataGaLocation":456},{"text":116,"config":508},{"href":100,"dataGaName":101,"dataGaLocation":456},{"text":510,"config":511},"Agile Entwicklung",{"href":512,"dataGaName":513,"dataGaLocation":456},"/de-de/solutions/agile-delivery/","agile delivery",{"text":515,"config":516},"Cloud-Transformation",{"href":517,"dataGaName":518,"dataGaLocation":456},"/de-de/topics/cloud-native/","cloud transformation",{"text":520,"config":521},"SCM",{"href":113,"dataGaName":522,"dataGaLocation":456},"source code management",{"text":104,"config":524},{"href":106,"dataGaName":525,"dataGaLocation":456},"continuous integration & delivery",{"text":154,"config":527},{"href":156,"dataGaName":528,"dataGaLocation":456},"value stream management",{"text":530,"config":531},"GitOps",{"href":532,"dataGaName":533,"dataGaLocation":456},"/de-de/solutions/gitops/","gitops",{"text":167,"config":535},{"href":169,"dataGaName":170,"dataGaLocation":456},{"text":172,"config":537},{"href":174,"dataGaName":175,"dataGaLocation":456},{"text":539,"config":540},"Öffentlicher Sektor",{"href":179,"dataGaName":180,"dataGaLocation":456},{"text":542,"config":543},"Bildungswesen",{"href":544,"dataGaName":545,"dataGaLocation":456},"/de-de/solutions/education/","education",{"text":547,"config":548},"Finanzdienstleistungen",{"href":549,"dataGaName":550,"dataGaLocation":456},"/de-de/solutions/finance/","financial services",{"title":187,"links":552},[553,555,557,559,562,564,566,568,570,572,574,576],{"text":199,"config":554},{"href":201,"dataGaName":202,"dataGaLocation":456},{"text":204,"config":556},{"href":206,"dataGaName":207,"dataGaLocation":456},{"text":209,"config":558},{"href":211,"dataGaName":212,"dataGaLocation":456},{"text":214,"config":560},{"href":216,"dataGaName":561,"dataGaLocation":456},"docs",{"text":237,"config":563},{"href":239,"dataGaName":240,"dataGaLocation":456},{"text":232,"config":565},{"href":234,"dataGaName":235,"dataGaLocation":456},{"text":242,"config":567},{"href":244,"dataGaName":245,"dataGaLocation":456},{"text":250,"config":569},{"href":252,"dataGaName":253,"dataGaLocation":456},{"text":255,"config":571},{"href":257,"dataGaName":258,"dataGaLocation":456},{"text":260,"config":573},{"href":262,"dataGaName":263,"dataGaLocation":456},{"text":265,"config":575},{"href":267,"dataGaName":268,"dataGaLocation":456},{"text":270,"config":577},{"href":272,"dataGaName":273,"dataGaLocation":456},{"title":288,"links":579},[580,582,584,586,588,590,592,596,601,603,605,607],{"text":295,"config":581},{"href":297,"dataGaName":290,"dataGaLocation":456},{"text":300,"config":583},{"href":302,"dataGaName":303,"dataGaLocation":456},{"text":308,"config":585},{"href":310,"dataGaName":311,"dataGaLocation":456},{"text":313,"config":587},{"href":315,"dataGaName":316,"dataGaLocation":456},{"text":318,"config":589},{"href":320,"dataGaName":321,"dataGaLocation":456},{"text":323,"config":591},{"href":325,"dataGaName":326,"dataGaLocation":456},{"text":593,"config":594},"Sustainability",{"href":595,"dataGaName":593,"dataGaLocation":456},"/sustainability/",{"text":597,"config":598},"Vielfalt, Inklusion und Zugehörigkeit",{"href":599,"dataGaName":600,"dataGaLocation":456},"/de-de/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":328,"config":602},{"href":330,"dataGaName":331,"dataGaLocation":456},{"text":338,"config":604},{"href":340,"dataGaName":341,"dataGaLocation":456},{"text":343,"config":606},{"href":345,"dataGaName":346,"dataGaLocation":456},{"text":608,"config":609},"Transparenzerklärung zu moderner Sklaverei",{"href":610,"dataGaName":611,"dataGaLocation":456},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"title":613,"links":614},"Nimm Kontakt auf",[615,618,623,625,630,635,640],{"text":616,"config":617},"Sprich mit einem Experten/einer Expertin",{"href":50,"dataGaName":51,"dataGaLocation":456},{"text":619,"config":620},"Support",{"href":621,"dataGaName":622,"dataGaLocation":456},"https://support.gitlab.com/hc/en-us/articles/11626483177756-GitLab-Support","get help",{"text":362,"config":624},{"href":364,"dataGaName":365,"dataGaLocation":456},{"text":626,"config":627},"Status",{"href":628,"dataGaName":629,"dataGaLocation":456},"https://status.gitlab.com/","status",{"text":631,"config":632},"Nutzungsbedingungen",{"href":633,"dataGaName":634,"dataGaLocation":456},"/terms/","terms of use",{"text":636,"config":637},"Datenschutzerklärung",{"href":638,"dataGaName":639,"dataGaLocation":456},"/de-de/privacy/","privacy statement",{"text":641,"config":642},"Cookie-Einstellungen",{"dataGaName":643,"dataGaLocation":456,"id":644,"isOneTrustButton":26},"cookie preferences","ot-sdk-btn",{"items":646},[647,649,651],{"text":631,"config":648},{"href":633,"dataGaName":634,"dataGaLocation":456},{"text":636,"config":650},{"href":638,"dataGaName":639,"dataGaLocation":456},{"text":641,"config":652},{"dataGaName":643,"dataGaLocation":456,"id":644,"isOneTrustButton":26},[654],{"id":655,"title":18,"body":8,"config":656,"content":658,"description":8,"extension":24,"meta":662,"navigation":26,"path":663,"seo":664,"stem":665,"__hash__":666},"blogAuthors/en-us/blog/authors/fernando-diaz.yml",{"template":657},"BlogAuthor",{"name":18,"config":659},{"headshot":660,"ctfId":661},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1749659556/Blog/Author%20Headshots/fern_diaz.png","fjdiaz",{},"/en-us/blog/authors/fernando-diaz",{},"en-us/blog/authors/fernando-diaz","lxRJIOydP4_yzYZvsPcuQevP9AYAKREF7i8QmmdnOWc",[668,682,696],{"content":669,"config":680},{"title":670,"description":671,"authors":672,"heroImage":674,"date":675,"body":676,"category":9,"tags":677},"KI entdeckt Zero-Days schneller, als Teams reagieren können: So bereitet man die Pipeline vor","KI findet Schwachstellen schneller als Teams sie schließen können. Wie Pipeline-Enforcement, Triage-Automatisierung und KI-Remediation die Lücke schließen.",[673],"Omer Azaria","https://res.cloudinary.com/about-gitlab-com/image/upload/v1772195014/ooezwusxjl1f7ijfmbvj.png","2026-04-20","Anthropics [Mythos-Preview-Modell](https://red.anthropic.com/2026/mythos-preview/)\nhat kürzlich Tausende von Zero-Day-Schwachstellen in allen wichtigen\nBetriebssystemen und Webbrowsern identifiziert – darunter ein OpenBSD-Fehler,\nder 27 Jahre lang unentdeckt blieb. In Tests verknüpfte Mythos autonom vier\nSchwachstellen zu einem funktionierenden Browser-Exploit, der seine Sandbox\nverließ. Anthropic schränkt den Zugang zu Mythos ein, doch der Leiter der\noffensiven Cyber-Forschung des Unternehmens erwartet, dass vergleichbare\nWerkzeuge innerhalb von sechs bis zwölf Monaten in Angreiferhänden sein werden.\n\nDie Verteidigungsseite hat nicht Schritt gehalten. Ein Drittel der ausgenutzten\nCVEs im ersten Halbjahr 2025 zeigte Aktivität vor oder am Tag der Offenlegung\n– bevor die meisten Teams überhaupt wissen, dass es etwas zu patchen gibt. KI\nkomprimiert dieses Fenster weiter, beschleunigt Angreifer und überschwemmt\nTeams mit Whitehat-Meldungen schneller, als sie triagiert werden können.\nDefender-Werkzeuge haben sich verbessert, doch die meisten Unternehmen können\nsie nicht schnell genug operationalisieren, um die Lücke zwischen Entdeckung\nund Ausnutzung zu schließen.\n\nWenn das Fenster zwischen Offenlegung und Ausnutzung in Stunden gemessen wird,\nkann das Sicherheitsteam nicht die letzte Verteidigungslinie sein. Sicherheit\nmuss dort greifen, wo Code in das System eintritt: in der Pipeline, bei jedem\nMerge Request, durch Richtlinien durchgesetzt. Was automatisiert werden kann,\nsollte automatisiert werden. Was es nicht kann, muss schneller als heute den\nrichtigen Menschen erreichen.\n\n\n## Bekannte Schwachstellen übersteigen bereits die Remediation-Kapazitäten\n\nDer Engpass ist nicht die Erkennung – sondern das Handeln im erforderlichen\nUmfang auf Basis bereits bekannter Informationen. 60 % der\nSicherheitsverletzungen im Verizon DBIR 2025 betrafen die Ausnutzung bekannter\nSchwachstellen, für die bereits ein Patch verfügbar war. Teams konnten sie\nnicht rechtzeitig schließen.\n\nDer Rückstand war bereits vor Mythos untragbar. Entwicklungsteams verbringen\n[11 Stunden pro Monat mit der Behebung von Schwachstellen](https://about.gitlab.com/resources/developer-survey/)\nnach dem Release – statt neue Funktionen zu liefern. Über die Hälfte der\nUnternehmen hat mindestens eine internetexponierte Schwachstelle offen, und der\nmediane Zeitraum zur Schließung der Hälfte dieser Schwachstellen beträgt\n361 Tage. Ausnutzung dauert Stunden, Remediation dauert Monate.\n\nKI-gestützte Entwicklung vergrößert die Lücke – und Verantwortliche sind sich\ndessen bewusst. Bis Juni 2025 fügte KI-generierter Code über 10.000 neue\nSecurity-Findings pro Monat in Fortune-50-Repositories hinzu – ein zehnfacher\nAnstieg gegenüber sechs Monaten zuvor. Georgia Tech identifizierte im März 2026\n34 [CVEs mit nachweisbarem KI-Ursprung](https://research.gatech.edu/bad-vibes-ai-generated-code-vulnerable-researchers-warn),\ngegenüber 6 im Januar. Diese Zahl erfasst nur die Fälle, in denen die\nKI-Urheberschaft eindeutig nachweisbar ist. KI-Coding-Assistenten halluzinieren\nPaketnamen, greifen auf veraltete Muster zurück und kopieren unsichere Beispiele\naus Trainingsdaten. Mehr Code, mehr Abhängigkeiten und mehr Schwachstellen pro\nZeile werden schneller erzeugt, als Sicherheitsteams sie prüfen können.\n\nVerteidiger müssen sich ebenfalls frontier KI-Modelle zunutze machen – nicht\nals externe Werkzeuge, die nachträglich an den SDLC angedockt werden, sondern\nals integrale Bestandteile derselben Richtlinien, Freigaben und Audit-Trails\nwie der Rest des Teams.\n\n\n## Sicherheit im Tempo von KI-gestützter Entwicklung\n\nWenn eine kritische CVE bekannt wird: Wie schnell kann das Team bestätigen,\nwelche Projekte betroffen sind? Wie viele Werkzeugwechsel durchläuft ein Alert,\nbevor ein Entwickler mit der Behebung beginnen kann?\n\nTeams, die am meisten von KI profitieren, haben Richtlinien,\nDurchsetzungsmechanismen und Kontrollen bereits in ihre Entwicklungs-Workflows\neingebettet. KI verstärkt dieses Fundament. Sie ersetzt es nicht.\n\n**Durchsetzung am Punkt der Änderung.** Wenn Ausnutzungsfenster schrumpfen,\nmuss jede Codezeile, die in ein Repository eingeht, einen definierten\nKontrollsatz durchlaufen – keine separate Prüfung, in einem anderen Werkzeug,\ndurch ein anderes Team. Unternehmen benötigen die Möglichkeit,\nSicherheitsrichtlinien über alle Gruppen und Projekte hinweg durchzusetzen, mit\ndem Merge Request als Durchsetzungspunkt. Richtlinien einmal definiert, überall\nangewendet, Ausnahmen geprüft, genehmigt und protokolliert.\n\n**Einfache Probleme vor dem Merge Request abfangen.** Hardcodierte Secrets,\nbekannt-vulnerable Importe und veraltete API-Aufrufe können in der IDE markiert\nwerden, bevor ein Commit gepusht wird. Das Abfangen zum Zeitpunkt der\nErstellung bedeutet weniger Findings, die den MR blockieren – so dass\nReview-Zyklen für Findings reserviert bleiben, die komponentenübergreifenden\nKontext erfordern: Erreichbarkeit, Ausnutzbarkeit und architektonisches Risiko.\n\n**Triage standardmäßig automatisiert.** Sicherheit in jeden Merge Request\neinzubetten erzeugt ein Volumenproblem. Mehr Scans, mehr Findings, mehr Lärm\nerreicht Entwicklungsteams, die nicht geschult sind, eine erreichbare kritische\nSchwachstelle von einer theoretischen zu unterscheiden. KI muss\nFalse-Positive-Erkennung, Erreichbarkeit, Ausnutzbarkeitskontext und\nSchweregradbewertung übernehmen, bevor ein Entwickler das Finding sieht –\ndamit die Findings, die ihn erreichen, tatsächlich seine Zeit rechtfertigen.\n\n**Remediation wie jede andere Änderung verwaltet.** KI-gestützte Remediation\nkomprimiert den Zeitrahmen zum Schließen von Schwachstellen, aber jeder\ngenerierte Fix muss denselben Governance-Prozess durchlaufen wie eine\nmenschlich erstellte Änderung: Richtlinien erzwingen Scans, die richtigen\nPrüfer genehmigen, und Nachweise werden aufgezeichnet. GitLabs automatisierte\nRemediation schlägt jeden Fix in einem Merge Request mit einem Konfidenzwert\nvor. Der MR dokumentiert, welche Richtlinie angewendet wurde, welche Scans\ndurchgeführt wurden, was sie gefunden haben und wer genehmigt hat. Menschlich\nerstellter Code und KI-generierter Code durchlaufen denselben Prozess – mit\ndemselben Audit-Trail.\n\n\n## So sieht eine vorbereitete Pipeline aus\n\nEin Proof-of-Concept-Exploit für eine Schwachstelle in einem verbreiteten\nOpen-Source-Paket erscheint auf einer Security-Mailingliste. Es gibt noch keine\nCVE, keinen NVD-Eintrag und keine Scanner-Signatur. Das Sicherheitsteam erfährt\nes auf dem üblichen Weg: jemand teilt es in Slack.\n\nEin Security-Engineer fragt den Security-Agenten, ob das Paket verwendet wird,\nwelche Projekte betroffene Versionen haben und ob verwundbare Call-Pfade in der\nProduktion erreichbar sind. Der Agent prüft den Dependency-Graphen jedes\nProjekts, gleicht die betroffenen Versionen und Einstiegspunkte aus der Meldung\nab und gibt eine priorisierte Liste exponierter Projekte mit Details zur\nErreichbarkeit zurück. Eine manuelle Suche in Repositories oder das Warten auf\nein Scanner-Update entfällt. Die Frage „Sind wir betroffen?\" ist in Minuten\nbeantwortet.\n\nDer Engineer startet eine Remediation-Kampagne für alle exponierten Projekte.\nDer Remediation-Agent schlägt Fixes vor: Versions-Updates, wo ein gepatchtes\nRelease verfügbar ist, und Patches für verwundbare Call-Pfade, wo es keines\ngibt. Scan-Execution-Policies sind bereits für Projekte mit\nISO-27001-Zertifizierung aktiv. Der Engineer verschärft die Regeln, um Merges\nbei jedem Merge Request zu blockieren, der die betroffene Abhängigkeit einführt\noder beibehält. Eine Approval-Policy erfordert nun Security-Freigabe für jeden\nFix. Der erste vorgeschlagene Patch schlägt in der Pipeline fehl, weil ein\nIntegrationstest eine Regression aufdeckt. Der Agent überarbeitet den Patch auf\nBasis des Testergebnisses, der zweite Versuch besteht. Das Entwicklungsteam\nprüft die Änderungen, Security gibt unter der verschärften Richtlinie frei, und\nMerges erfolgen über die gesamte Kampagne hinweg.\n\nBeim nächsten Audit-Review legt das Sicherheitsteam einen Bericht vor, der\nzeigt, wie Richtlinien durchgesetzt und Risiken während der Kampagne reduziert\nwurden. Er enthält Scan-Ergebnisse, angewendete Richtlinien, Genehmiger und\nMerge-Zeitstempel für jeden MR in jedem betroffenen Projekt. Die Nachweise\nwurden automatisch während des Prozesses erzeugt – nicht im Nachhinein\nzusammengestellt.\n\n\n## Handlungsfelder jetzt identifizieren\n\nMythos existiert heute, und vergleichbare Modelle werden innerhalb eines Jahres\nin Angreiferhänden sein. Jeder Monat bis dahin ist eine Gelegenheit, die\nSoftware-Lieferkette zu stärken.\n\nDiese Fragen zeigen, wo die Pipeline steht:\n\n* Wie wird sichergestellt, dass Sicherheitsscans bei jedem Merge Request\n  durchgeführt werden – nicht nur in Projekten, in denen Teams sie konfiguriert\n  haben?\n\n* Wenn ein kompromittiertes Paket heute in den Dependency-Tree eingeht –\n  würde die Pipeline es vor dem Build abfangen?\n\n* Wenn ein Scanner ein kritisches Finding meldet: Wie viele Werkzeugwechsel\n  durchläuft es, bevor ein Entwickler mit der Behebung beginnt?\n\n* Wenn ein KI-Agent einen Code-Fix für eine Schwachstelle vorschlägt – welchen\n  Prozess durchläuft dieser Fix vor dem Erreichen der Produktion, und ist dieser\n  Prozess auditierbar?\n\n* Wenn Auditoren den Nachweis verlangen, dass eine bestimmte Richtlinie auf\n  eine bestimmte Änderung angewendet wurde – wie lange dauert die Bereitstellung?\n\nWo diese Fragen Lücken aufzeigen, empfiehlt sich gezielte Maßnahmen.\n[Mit einem GitLab Solutions Architect sprechen](https://about.gitlab.com/de-de/sales/)\n– zur Rolle von Security-Governance im Entwicklungs-Lifecycle.\n",[678,9,679],"AI/ML","DevSecOps platform",{"featured":26,"template":13,"slug":681},"prepare-your-pipeline-for-ai-discovered-zero-days",{"content":683,"config":694},{"title":684,"description":685,"authors":686,"heroImage":688,"date":689,"body":690,"category":9,"tags":691},"GitLab 18.10 bringt KI-native Triage und Behebung","Erfahre mehr über die Funktionen von GitLab Duo Agent Platform, die Rauschen reduzieren, echte Schwachstellen identifizieren und Ergebnisse in Lösungsvorschläge umwandeln.",[687],"Alisa Ho","https://res.cloudinary.com/about-gitlab-com/image/upload/v1773843921/rm35fx4gylrsu9alf2fx.png","2026-03-19","GitLab 18.10 führt neue KI-basierte Sicherheitsfunktionen ein, die auf die Verbesserung der Qualität und Geschwindigkeit des Schwachstellenmanagements ausgerichtet sind. Zusammen tragen diese Funktionen dazu bei, den Zeitaufwand für die Untersuchung von False Positives zu reduzieren und automatisierte Abhilfe direkt in den Workflow zu integrieren – so lassen sich Schwachstellen auch ohne tiefgreifende Sicherheitsexpertise beheben.\n\nDas ist neu:\n\n* [**Erkennung von False Positives bei statischen Anwendungssicherheitstests (SAST)**](https://docs.gitlab.com/user/application_security/vulnerabilities/false_positive_detection/) **ist jetzt allgemein verfügbar.** Dieser Flow nutzt ein LLM für agentisches Reasoning, um die Wahrscheinlichkeit zu bestimmen, ob eine Schwachstelle ein False Positive ist oder nicht. So können sich Sicherheits- und Entwicklungsteams zuerst auf die Behebung kritischer Schwachstellen konzentrieren.\n* [**Agentische SAST-Schwachstellenbehebung**](https://docs.gitlab.com/user/application_security/vulnerabilities/agentic_vulnerability_resolution/) **ist jetzt als Beta verfügbar.** Die agentische SAST-Schwachstellenbehebung erstellt automatisch einen Merge Request mit einem Lösungsvorschlag für verifizierte SAST-Schwachstellen. Das verkürzt die Zeit bis zur Behebung und reduziert den Bedarf an tiefgreifender Sicherheitsexpertise.\n* [**Erkennung von False Positives bei Geheimnissen**](https://docs.gitlab.com/user/application_security/vulnerabilities/secret_false_positive_detection/) **ist jetzt als Beta verfügbar.** Dieser Flow bringt die gleiche KI-basierte Rauschreduzierung in die Erkennung von Geheimnissen und kennzeichnet Dummy- und Test-Geheimnisse, um den Prüfaufwand zu verringern.\n\nDiese Flows stehen Kund(inn)en von GitLab Ultimate zur Verfügung, die GitLab Duo Agent Platform nutzen.\n\n## Triage-Zeit mit SAST-False-Positive-Erkennung verkürzen\n\nHerkömmliche SAST-Scanner kennzeichnen jedes verdächtige Codemuster, das sie finden – unabhängig davon, ob Codepfade erreichbar sind oder Frameworks das Risiko bereits abfangen. Ohne Laufzeitkontext können sie eine echte Schwachstelle nicht von sicherem Code unterscheiden, der lediglich gefährlich aussieht.\n\nDas bedeutet, dass Entwickler(innen) möglicherweise Stunden damit verbringen, Ergebnisse zu untersuchen, die sich als False Positives herausstellen. Mit der Zeit kann das das Vertrauen in den Bericht untergraben und die Teams verlangsamen, die für die Behebung echter Risiken verantwortlich sind.\n\nNach jedem SAST-Scan analysiert GitLab Duo Agent Platform automatisch neue kritische und hochgradig schwerwiegende Ergebnisse und fügt Folgendes hinzu:\n\n* Einen Konfidenzwert, der angibt, wie wahrscheinlich es ist, dass das Ergebnis ein False Positive ist\n* Eine KI-generierte Erklärung mit der Begründung\n* Ein visuelles Badge, das „Wahrscheinlich False Positive“ und „Wahrscheinlich echt“ in der UI leicht erkennbar macht\n\nDiese Ergebnisse erscheinen im [Sicherheitslückenbericht](https://docs.gitlab.com/user/application_security/vulnerability_report/), wie unten dargestellt. Der Bericht lässt sich filtern, um sich auf Ergebnisse zu konzentrieren, die als „Kein False Positive“ markiert sind. So können Teams ihre Zeit für die Behebung echter Schwachstellen nutzen, anstatt Rauschen zu sichten.\n\n![Sicherheitslückenbericht](https://res.cloudinary.com/about-gitlab-com/image/upload/v1773844787/i0eod01p7gawflllkgsr.png)\n\n\nDie Bewertung von GitLab Duo Agent Platform ist eine Empfehlung. Die Kontrolle über jedes False Positive bleibt erhalten, und die Begründung des Agenten kann jederzeit überprüft werden, um Vertrauen in das Modell aufzubauen.\n\n\n## Schwachstellen in automatisierte Fixes umwandeln\n\nZu wissen, dass eine Schwachstelle echt ist, ist nur die halbe Arbeit. Die Behebung erfordert weiterhin das Verständnis des Codepfads, das Schreiben eines sicheren Patches und die Sicherstellung, dass nichts anderes beeinträchtigt wird.\n\nWenn die Schwachstelle durch den SAST-False-Positive-Erkennungsflow als wahrscheinlich kein False Positive identifiziert wird, führt der agentische SAST-Schwachstellenbehebungsflow automatisch folgende Schritte aus:\n\n1. Liest den anfälligen Code und den umgebenden Kontext aus dem Repository\n2. Generiert hochwertige Lösungsvorschläge\n3. Validiert die Fixes durch automatisierte Tests\n4. Öffnet einen Merge Request mit einem Lösungsvorschlag, der Folgendes enthält:\n   * Konkrete Codeänderungen\n   * Einen Konfidenzwert\n   * Eine Erklärung, was geändert wurde und warum\n\nIn dieser Demo siehst du, wie GitLab eine SAST-Schwachstelle automatisch vom Erkennen bis hin zu einem prüfbereiten Merge Request verarbeiten kann. Beobachte, wie der Agent den Code liest, einen Fix generiert und validiert und einen MR mit klaren, nachvollziehbaren Änderungen öffnet – damit Entwickler(innen) schneller beheben können, ohne Sicherheitsexpert(inn)en sein zu müssen.\n\n\u003Ciframe src=\"https://player.vimeo.com/video/1174573325?badge=0&amp;autopause=0&amp;player_id=0&amp;app_id=58479\" frameborder=\"0\" allow=\"autoplay; fullscreen; picture-in-picture; clipboard-write; encrypted-media; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" style=\"position:absolute;top:0;left:0;width:100%;height:100%;\" title=\"GitLab 18.10 AI SAST False Positive Auto Remediation\">\u003C/iframe>\u003Cscript src=\"https://player.vimeo.com/api/player.js\">\u003C/script>\n\nWie bei jedem KI-generierten Vorschlag sollte der vorgeschlagene Merge Request vor dem Zusammenführen sorgfältig geprüft werden.\n\n## Echte Geheimnisse identifizieren\n\nDie Erkennung von Geheimnissen ist nur dann nützlich, wenn Teams den Ergebnissen vertrauen. Wenn Berichte voller Test-Zugangsdaten, Platzhalterwerte und Beispiel-Token sind, verschwenden Entwickler(innen) möglicherweise Zeit mit der Überprüfung von Rauschen, anstatt echte Sicherheitslücken zu beheben. Das kann die Behebung verlangsamen und das Vertrauen in den Scan verringern.\n\nDie False-Positive-Erkennung bei Geheimnissen hilft Teams, sich auf die relevanten Geheimnisse zu konzentrieren und Risiken schneller zu reduzieren. Bei der Ausführung auf dem Standard-Branch werden automatisch folgende Schritte durchgeführt:\n\n1. Jedes Ergebnis wird analysiert, um wahrscheinliche Test-Zugangsdaten, Beispielwerte und Dummy-Geheimnisse zu identifizieren\n2. Ein Konfidenzwert wird zugewiesen, ob das Ergebnis ein echtes Risiko oder wahrscheinlich ein False Positive ist\n3. Eine Erklärung wird generiert, warum das Geheimnis als echt oder als Rauschen eingestuft wird\n4. Ein Badge wird im Sicherheitslückenbericht hinzugefügt, damit Entwickler(innen) den Status auf einen Blick erkennen können\n\nEntwickler(innen) können diese Analyse auch manuell über den Sicherheitslückenbericht auslösen, indem sie bei einem Ergebnis der Geheimniserkennung **„Auf False Positive prüfen“** auswählen. So lassen sich Ergebnisse ohne Risiko aussortieren und echte Geheimnisse schneller adressieren.\n\n## KI-basierte Sicherheit jetzt testen\n\nGitLab 18.10 führt Funktionen ein, die den gesamten Schwachstellen-Workflow abdecken – von der Reduzierung von False-Positive-Rauschen bei SAST und der Erkennung von Geheimnissen bis hin zur automatischen Generierung von Merge Requests mit Lösungsvorschlägen.\n\nUm zu erfahren, wie KI-basierte Sicherheit die Prüfzeit verkürzen und Ergebnisse in zusammenführbare Fixes umwandeln kann, [starte jetzt eine kostenlose Testversion von GitLab Duo Agent Platform](https://about.gitlab.com/de-de/gitlab-duo-agent-platform/).",[692,9,693],"product","features",{"featured":12,"template":13,"slug":695},"gitlab-18-10-brings-ai-native-triage-and-remediation",{"content":697,"config":709},{"title":698,"description":699,"authors":700,"heroImage":702,"date":703,"body":704,"category":9,"tags":705},"SSO und SCIM mit Azure Entra ID – Zentralisiertes Identity-Management","Single Sign-On und SCIM-Benutzerbereitstellung einrichten – SAML-Konfiguration für GitLab mit Azure Entra ID.",[701],"Rob Jackson","https://res.cloudinary.com/about-gitlab-com/image/upload/v1750098047/Blog/Hero%20Images/Blog/Hero%20Images/AdobeStock_1097303277_6gTk7M1DNx0tFuovupVFB1_1750098046895.jpg","2026-03-16","Mit wachsender Unternehmensgröße wird es zunehmend schwierig und kritisch, sicherzustellen, dass die richtigen Teammitglieder Zugriff auf die richtigen Gruppen und Projekte haben. GitLab bietet leistungsstarke Methoden zur Zugriffsverwaltung, insbesondere mit [Custom Roles](https://about.gitlab.com/blog/how-to-tailor-gitlab-access-with-custom-roles/). Die manuelle Verwaltung über eine Benutzeroberfläche kann jedoch bei großem Umfang frustrierend sein. Security Assertion Markup Language (SAML) und System for Cross-domain Identity Management (SCIM) bieten eine Lösung.\n\n\n## Was SSO und SCIM bieten\n\n\n**Single Sign-On (SSO) mit SAML** ermöglicht Benutzern, sich einmal bei einem zentralen Identity Provider – wie Azure Entra ID – zu authentifizieren und dann auf mehrere verbundene Anwendungen zuzugreifen, ohne erneute Anmeldung. **SCIM** automatisiert die Benutzerverwaltung: Wenn Benutzer im Identity Provider erstellt, Gruppen zugewiesen oder deaktiviert werden, synchronisiert SCIM diese Änderungen automatisch mit GitLab – einschließlich Berechtigungen basierend auf Gruppenmitgliedschaften.\n\n\n### Vorteile für Unternehmen\n\n\n**Sicherheit:** Zentralisierte Authentifizierung reduziert Passwort-Müdigkeit und Credential-Stuffing-Risiken. Multi-Faktor-Authentifizierung lässt sich auf Identity-Provider-Ebene erzwingen und gilt automatisch für alle verbundenen Anwendungen. Wenn ein Benutzer das Unternehmen verlässt, entfernt die Deaktivierung im Identity Provider sofort den Zugriff auf alle Systeme.\n\n\n**Effizienz:** Automatisierte Benutzerbereitstellung reduziert Onboarding-Zeit von Stunden auf Minuten. Gruppenmitgliedschaften in Azure Entra ID synchronisieren automatisch mit GitLab-Berechtigungen. Identitäten werden einmal im Identity Provider verwaltet und propagieren automatisch – kein manuelles Erstellen, Aktualisieren oder Löschen von Konten in jeder Anwendung erforderlich.\n\n\n## Implementierung\n\n\nDie Konfiguration von GitLab Single Sign-On mit SAML und SCIM erfordert:\n\n- Azure Entra ID Tenant mit Administrator-Zugriff\n- GitLab Premium oder Ultimate mit Top-Level-Gruppe\n- Konfiguration auf beiden Plattformen (Parameter-Austausch, Attribut-Mappings, SCIM-Token)\n\n\n**Vollständige Schritt-für-Schritt-Anleitung:**\n\n→ [How-to: GitLab Single Sign-on with SAML, SCIM and Azure's Entra ID](https://about.gitlab.com/blog/how-to-gitlab-single-sign-on-with-saml-scim-and-azures-entra-id/)\n\n\nDie englische Anleitung bietet:\n\n- 15 detaillierte UI-Screenshots für Azure Entra ID und GitLab\n- Vollständige Attribut-Mapping-Tabellen (SAML Claims, SCIM Provisioning)\n- Parameter-Austausch zwischen Plattformen (Identifier, Reply URL, Certificate, SCIM Token)\n- Fehlerbehebung für häufige Probleme (Email-Attribut-Fehler, NameID-Mismatch)\n\n\n**Kostenlose Testversionen:** [Azure Entra ID](https://azure.microsoft.com/de-de/free/) | [GitLab](https://about.gitlab.com/free-trial/devsecops/)\n\n\n## Weiterführende Informationen\n\n- [The ultimate guide to enabling SAML and SSO on GitLab.com](https://about.gitlab.com/blog/the-ultimate-guide-to-enabling-saml/)\n- [SAML SSO for GitLab.com groups documentation](https://docs.gitlab.com/ee/user/group/saml_sso/)\n",[706,9,679,707,708],"tutorial","DevSecOps","solutions architecture",{"slug":710,"featured":12,"template":13},"how-to-gitlab-single-sign-on-with-saml-scim-and-azures-entra-id",{"header":712,"blurb":713,"button":714,"secondaryButton":719},"Beginne noch heute, schneller zu entwickeln","Entdecke, was dein Team mit der intelligenten Orchestrierungsplattform für DevSecOps erreichen kann.\n",{"text":715,"config":716},"Kostenlosen Test starten",{"href":717,"dataGaName":46,"dataGaLocation":718},"https://gitlab.com/-/trial_registrations/new?glm_content=default-saas-trial&glm_source=about.gitlab.com/de-de/","feature",{"text":48,"config":720},{"href":50,"dataGaName":51,"dataGaLocation":718},{"promotions":722},[723,737,749,760],{"id":724,"categories":725,"header":727,"text":728,"button":729,"image":734},"ai-modernization",[726],"ai-ml","Is AI achieving its promise at scale?","Quiz will take 5 minutes or less",{"text":730,"config":731},"Get your AI maturity score",{"href":732,"dataGaName":733,"dataGaLocation":240},"/assessments/ai-modernization-assessment/","modernization assessment",{"config":735},{"src":736},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138786/qix0m7kwnd8x2fh1zq49.png",{"id":738,"categories":739,"header":741,"text":728,"button":742,"image":746},"devops-modernization",[692,740],"devsecops","Are you just managing tools or shipping innovation?",{"text":743,"config":744},"Get your DevOps maturity score",{"href":745,"dataGaName":733,"dataGaLocation":240},"/assessments/devops-modernization-assessment/",{"config":747},{"src":748},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138785/eg818fmakweyuznttgid.png",{"id":750,"categories":751,"header":752,"text":728,"button":753,"image":757},"security-modernization",[9],"Are you trading speed for security?",{"text":754,"config":755},"Get your security maturity score",{"href":756,"dataGaName":733,"dataGaLocation":240},"/assessments/security-modernization-assessment/",{"config":758},{"src":759},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1772138786/p4pbqd9nnjejg5ds6mdk.png",{"id":761,"paths":762,"header":765,"text":766,"button":767,"image":772},"github-azure-migration",[763,764],"migration-from-azure-devops-to-gitlab","integrating-azure-devops-scm-and-gitlab","Is your team ready for GitHub's Azure move?","GitHub is already rebuilding around Azure. Find out what it means for you.",{"text":768,"config":769},"See how GitLab compares to GitHub",{"href":770,"dataGaName":771,"dataGaLocation":240},"/compare/gitlab-vs-github/github-azure-migration/","github azure migration",{"config":773},{"src":748},1777302586108]