Gegenstand der Ausschreibung ist die unabhängige sicherheitstechnische Prüfung der im Projekt „LaDaDi-ProDi“ entwickelten Softwarekomponenten einschließlich der zugehörigen Konfigurationen und bereitgestellten Testumgebungen.
Der Auftrag umfasst insbesondere:
- ein White-Box-Quellcodeaudit der neu entwickelten Backend-Komponenten,
- ein White-Box-Quellcodeaudit der mobilen und Desktop-Clients,
- ein Architektur- und Konfigurationsreview der bereitgestellten Container-, Build- und Kubernetes-bezogenen Artefakte,
- eine Dependency- und Supply-Chain-Prüfung einschließlich SBOM-basierter Analyse,
- einen anwendungsbezogenen Penetrationstest der bereitgestellten Testumgebung,
- die strukturierte Dokumentation und Priorisierung aller festgestellten sicherheitsrelevanten Befunde einschließlich technischer Handlungsempfehlungen.
Nicht Gegenstand der Ausschreibung ist eine allgemeine Softwareentwicklung, ein Betrieb der Anwendung oder eine allgemeine datenschutzrechtliche Compliance-Prüfung.