Press "Enter" to skip to content

Redmine pro řízení kyberbezpečnostních testů a zranitelností – návrh řešení

Published 03/07/2025 by Oxford

Systém pro řízení kyberbezpečnostních testů a správu zranitelností (dále jen „systém“) na bázi Redmine slouží jako jednotná platforma pro plánování, řízení a dokumentaci bezpečnostních testů a pro následnou evidenci a správu nalezených zranitelností.

Jeho cílem je:

  • sjednotit procesní tok kyberbezpečnostního testování napříč týmy a rolemi,
  • zajistit konzistenci ve způsobu evidence nálezů (včetně jejich klasifikace a řešení),
  • usnadnit koordinaci mezi zúčastněnými osobami – například testery, vývojáři, provozními týmy i bezpečnostními manažery.

Systém pokrývá obě hlavní části procesu:

  • řízení samotného testování – tedy zadání, schvalování, alokaci rolí, sledování průběhu a závěrečného vyhodnocení testů,
  • správu zranitelností – strukturované zaznamenávání, kategorizaci a sledování nápravy zjištěných slabin v různých systémech (aplikace, sítě, cloudové prostředí apod.).

Systém zajišťuje evidenci informací o zranitelnostech včetně:

  • jejich identifikátoru,
  • klasifikace (např. CVSS),
  • aktuálního stavu řešení,
  • přiřazené odpovědnosti (osoba/tým),
  • termínu nápravy,
  • historie zásahů a kontextu řešení.

Současně poskytuje přehled o jednotlivých testovacích projektech, jejich rozsahu, odpovědných rolích a výsledcích – čímž propojuje nález se zdrojem i kontextem jeho vzniku.

Workflow jako klíčový prvek

Zásadním přínosem systému je customizované workflow, které integruje životní cyklus zranitelnosti i celý cyklus bezpečnostního testování. Tento strukturovaný přístup například:

  • snižuje kognitivní zátěž testerů a dalších zúčastněných osob, jelikož eliminuje nejasnosti ohledně stavu specifikace testování, nálezů, odpovědností a následujících kroků;
  • umožňuje přesné vymezení rozsahu testovacích projektů, včetně přehledného přiřazení rolí, očekávaných výstupů a závislostí;
  • minimalizuje potřebu neformální komunikace mezi rolemi díky jasně definovanému postupu;
  • umožňuje prioritizaci a kontrolu termínů dle závažnosti nebo SLA;
  • zajišťuje auditní stopu a soulad s bezpečnostními požadavky organizace.

Každý záznam má přiřazený jednoznačný stav a předdefinovaný životní cyklus, přechody mezi stavy jsou automatizované tam, kde je to vhodné, a doprovázené notifikacemi pro relevantní strany. Tím se minimalizuje riziko přehlédnutí nebo zdržení v řešení.

Jako technický základ systému byl zvolen Redmine, open-source nástroj pro správu projektů a úkolů, který je nutné nakonfigurovat a doplnit o specifické funkce a struktury odpovídající požadavkům řízení kyberbezpečnostních testů a zranitelností.

Redmine jako platforma pro řízení bezpečnostních testů a zranitelností

Redmine je open-source nástroj pro řízení projektů a sledování úkolů, vyvinutý v jazyce Ruby on Rails. Díky své otevřené architektuře, množství dostupných pluginů a bohaté API představuje flexibilní základ pro budování specializovaných řešení – včetně podpory procesů kyberbezpečnostního testování a správy zranitelností.

Redmine nabízí široké možnosti přizpůsobení, a to jak z hlediska struktury projektů, workflow a řízení přístupových práv, tak i v oblasti integrace s dalšími nástroji a systémy. To z něj činí vhodnou platformu pro organizace, které potřebují:

  • řídit a dokumentovat průběh bezpečnostních testů (např. penetračních, DoS, auditních),
  • evidovat a sledovat zjištěné zranitelnosti napříč prostředími,
  • koordinovat nápravná opatření mezi bezpečnostními, vývojovými a provozními týmy,
  • mít jednotné rozhraní pro řízení kyberbezpečnostních aktivit.

Klíčové vlastnosti Redmine:

  • správa úkolů a incidentů (issues),
  • definice workflow a stavových přechodů,
  • kalendář, dashboardy a Ganttův diagram pro vizualizaci průběhu,
  • podpora více projektů a týmů v rámci jednoho systému,
  • detailní řízení rolí a oprávnění,
  • možnost rozšíření pomocí pluginů a REST API,
  • interní wiki, fóra a další dokumentační funkce.

Redmine je lokalizovaný do desítek jazyků, má aktivní komunitu a dlouhodobou podporu vývoje. To zajišťuje jeho udržitelnost i přizpůsobitelnost pro specifické potřeby bezpečnostního prostředí.

Využitelnost Redmine pro správu zranitelností a řízení bezpečnostních testů

Ačkoli Redmine nebyl původně navržen jako nástroj pro kyberbezpečnost, díky své modularitě a konfigurovatelnosti je možné jej upravit pro účely:

  • řízení bezpečnostních testů (např. definice cílů, rozsahu, přidělení rolí, evidence průběhu),
  • sledování zranitelností v rámci testování i běžného provozu (včetně kategorizace, plánování nápravy, ověřování).

Redmine tak může sloužit jako integrovaný nástroj, který spojuje projektové řízení testů a evidenci nálezů s jejich kontextem a umožňuje jejich plnohodnotné řešení v rámci jednoho prostředí.

Klíčové vlastnosti Redmine relevantní pro bezpečnostní použití:

  • Segmentace projektů: Možnost vytvářet samostatné projekty či podprojekty pro různé testy, oblasti infrastruktury nebo zdroje zranitelností (interní/externí, automatické/manualní, dle týmu apod.).
  • Hierarchická struktura: Uspořádání dat podle systémů, aplikací, týmů nebo organizačních jednotek pro přehlednou orientaci.
  • Sledování problémů (Issues): Každý nález nebo zranitelnost jako samostatný záznam s možností definovat prioritu, závažnost, CVE, dopady, status řešení a další.
  • Customizované workflow: Definice životního cyklu zranitelnosti i testovacího procesu – od plánování testu, jeho realizace, evidence nálezů až po ověření náprav a závěrečné vyhodnocení. Umožňuje přesné vymezení odpovědností, rozsahu a návazností, čímž zvyšuje efektivitu a snižuje kognitivní zátěž zapojených osob.
  • Vlastní políčka (custom fields): Přidání specifických atributů pro potřeby testování a klasifikace zranitelností (např. exploitabilita, SLA, riziková klasifikace, důvěrnost/dostupnost/integrita).
  • Stavové přechody (status tracking): Transparentní sledování postupu řešení zranitelností i stavu jednotlivých fází testu.
  • Notifikace a upozornění: Automatické zasílání upozornění při změně stavu, přiřazení, blížících se termínech nebo nových nálezech.
  • Filtrování a reporty: Možnost vytvářet přehledy a exporty podle zvolených filtrů – pro vedení, bezpečnostní tým i audit.
  • Integrace: Propojení s externími nástroji (např. Nessus, Qualys, OpenVAS, ZAP), systémy správy aktiv, CI/CD pipeline, nebo identity managementem.
  • Role a oprávnění: Granulární řízení přístupu dle rolí – oddělení kompetencí mezi testery, validátory, vývojáře, manažery apod.
  • Dashboardy a metriky: Vizualizace stavu zranitelností, otevřených nálezů, doby řešení, SLA a dalších ukazatelů pomocí dashboardů.
  • Wiki a fóra: Možnost dokumentovat metodiku testování, sdílet znalosti, vytvářet návody nebo vést diskuze nad řešením konkrétních případů.

Implementace a adaptace systému

Implementace Redmine jako platformy pro řízení kyberbezpečnostních testů a správu zranitelností vyžaduje pečlivé plánování, technickou konfiguraci i důsledné zapojení procesů a lidí. Přestože Redmine poskytuje velmi flexibilní a rozšiřitelný základ, klíčem k úspěchu je především:

  • správné nastavení struktury projektů a rolí,
  • vytvoření přehledného workflow pro testovací i remediační části,
  • dostupnost jasných metodik a pravidel práce se systémem,
  • a pravidelná evaluace a vylepšování podle aktuálních potřeb týmu i hrozeb.

Zavedením jednotné platformy vzniká prostředí, které sjednocuje komunikaci, evidenci, odpovědnosti a zpětnou dohledatelnost napříč celým cyklem bezpečnostního testování i řešení zranitelností. Systém tím významně přispívá k vyšší kvalitě bezpečnostních procesů a zároveň snižuje provozní rizika způsobená nesladěním mezi týmy nebo ztrátou informací.

Díky otevřené architektuře, komunitní podpoře a možnosti adaptace na měnící se potřeby a hrozby představuje Redmine dlouhodobě udržitelné a rozšiřitelné řešení. Při správném nasazení a správě se může stát klíčovým nástrojem v rámci bezpečnostní strategie organizace.

Uvažované základní technické předpoklady

Tato kapitola obsahuje předběžný návrh technických požadavků pro implementaci systému Redmine jako platformy pro řízení kyberbezpečnostních testů a správu zranitelností.

Uvedené předpoklady slouží jako výchozí rámec, který je nutné dále přizpůsobit konkrétním podmínkám prostředí, bezpečnostním politikám organizace, úrovni důvěrnosti spravovaných dat a existující infrastruktuře.

Vzhledem k charakteru systému a citlivosti spravovaných údajů (např. technické nálezy, výstupy testů, detaily o zranitelnostech), je zcela zásadní uvažovat bezpečnost jako integrální součást návrhu i provozu. Doporučuje se:

  • provést důkladný hardening prostředí (OS, webový server, databáze, aplikace),
  • zohlednit klasifikaci dat (např. důvěrná, interní),
  • řídit se principem minimálních oprávnění a segmentace prostředí,
  • uvažovat potenciální regulatorní a reputační dopady při kompromitaci.

Bezpečnost není jednorázový krok, ale kontinuální proces. Z tohoto důvodu je nezbytné průběžně sledovat zranitelnosti nejen samotné aplikace Redmine (např. prostřednictvím Security Advisories na redmine.org), ale také běhového prostředí – včetně:

  • operačního systému a jeho balíčků,
  • používaného webového serveru (např. Apache, Nginx),
  • databázového systému (např. MariaDB),
  • jazykového runtime (Ruby) a použitých knihoven.

Na identifikované zranitelnosti je nutné reagovat adekvátními protiopatřeními, a to včetně:

  • instalace bezpečnostních aktualizací,
  • konfiguračních změn,
  • nebo dočasného omezení funkcionality / izolace.

Doporučené technické předpoklady

Při návrhu a implementaci systému je nutné se řídit oficiálními požadavky a instalační dokumentací Redmine, které jsou průběžně aktualizovány:

Doporučuje se instalace nejnovější dostupné stabilní verze Redmine, která:

  • obsahuje aktuální bezpečnostní záplaty,
  • poskytuje podporu pro novou funkcionalitu a kompatibilitu s moderními knihovnami a pluginy,
  • zvyšuje celkovou udržitelnost a bezpečnost nasazení.

Instalace starších nebo komunitně upravených verzí by měla být pečlivě zvážena a případně ošetřena vhodnými bezpečnostními opatřeními, pokud není možné použít oficiální aktuální verzi.

Na základě předpokládaného způsobu využití systému v prostředí, kde se zpracovávají citlivé informace o bezpečnostních testech a zranitelnostech, doporučuji zvážit následující technologická opatření a komponenty. Výběr vychází z osvědčených postupů pro provoz služeb s vyššími nároky na stabilitu, auditovatelnost a bezpečnost.

Je důležité zdůraznit, že jednotlivé volby komponent, jejich verze a způsob nasazení by měly být vždy přizpůsobeny konkrétním podmínkám organizace, provoznímu prostředí a požadavkům na důvěrnost, integritu a dostupnost dat. Uvedené prvky tedy představují doporučenou konfiguraci, nikoli univerzální standard.

  • Chráněné on-premise prostředí: Doporučuje se provoz systému v odděleném, chráněném on-premise prostředí bez veřejného vystavení webového rozhraní. Přístup k systému by měl být umožněn pouze interním uživatelům nebo externím pracovníkům prostřednictvím bezpečného vzdáleného připojení – například přes VPN nebo omezený přístup z autorizovaných IP adres (IP whitelist). Tento přístupový model výrazně snižuje riziko neoprávněného přístupu a vystavení systému útokům z veřejného prostoru.
  • Operační systém: Doporučuje se použít linuxovou distribuci zaměřenou na stabilitu, bezpečnost a dlouhodobou podporu, například Debian. Debian je známý svou konzervativní správou balíčků, rychlými bezpečnostními aktualizacemi, rozšířenou komunitou a detailní dokumentací, což jej činí vhodným pro provoz bezpečnostně citlivých aplikací. Je samozřejmě možné využít jinou dostatečně bezpečnou linuxovou distribuci, pokud odpovídá požadavkům prostředí, znalostem správců a bezpečnostní politice organizace. Příklady dalších vhodných variant zahrnují např. Red Hat Enterprise Linux (RHEL) a jeho plně kompatibilní komunitní alternativy. Zároveň je nutné zajistit, aby operační systém byl spravován v souladu s osvědčenými bezpečnostními zásadami. To zahrnuje využití uživatelských účtů bez přímého přístupu root, správu pomocí účtů s omezenými oprávněními, použití sudo pro auditovatelné privilegované operace a oddělení účtů pro systémové služby. Takový přístup nejen snižuje riziko lidských chyb a omezuje dopady případné kompromitace, ale také napomáhá sledování aktivit a plnění principů odpovědnosti a minimálních oprávnění.
  • Přístup: Vzdálená správa systému by měla probíhat výhradně prostřednictvím protokolu SSH s následujícími opatřeními:
    • autentizace pomocí páru veřejného a soukromého klíče (nikoli heslem),
    • zákaz přímého přihlášení uživatele root,
    • povolení přístupu pouze z definovaných IP adres nebo prostřednictvím VPN.
  • Síťový firewall (např. UFW, firewalld, nftables): Doporučuje se provoz systému za aktivním a správně nakonfigurovaným lokálním síťovým firewallem, který zajistí omezení přístupu pouze na nezbytné porty a služby. Firewall by měl být nastaven podle principu deny by default, tedy zakázat veškerý příchozí provoz s výjimkou výslovně povolených portů (např. HTTPS, SSH z vybraných adres). V prostředích s vyššími požadavky na bezpečnost se doporučuje kombinace s externím síťovým firewallem či aplikační bránou.
  • Správa uživatelů a oprávnění: Administrace systému by měla probíhat výhradně prostřednictvím neprivilegovaného uživatelského účtu, který má omezený přístup k administrátorským operacím pomocí sudo. Doporučuje se:
    • zakázat přímé přihlášení jako root (PermitRootLogin no);
    • umožnit použití sudo pouze vybraným uživatelům (členům např. skupiny sudo či admin);
    • omezit rozsah dostupných příkazů v souboru sudoers, pokud je to možné (např. neumožnit sudo su, sudo bash, sudo -i);
    • zajistit auditní logování všech sudo operací (např. pomocí sudo_logfile nebo centralizovaného syslogu);
    • uvažovat o dvoufaktorové autentizaci pro přístup k privilegovaným operacím, pokud to bezpečnostní politika umožňuje.
  • Redmine, aplikační server a reverzní proxy: Redmine je webová aplikace napsaná v Ruby on Rails. Pro svůj provoz vyžaduje dvě hlavní komponenty:
    • 1. Aplikační server – proces, který „spouští Rails“ a obsluhuje požadavky aplikační logiky (např. Passenger, Puma, Unicorn).
    • 2. Reverzní proxy server (webový server) – komponenta, která přijímá požadavky od uživatelů (např. HTTPS z webového prohlížeče) a předává je aplikačnímu serveru. Nejčastěji se používá Apache HTTP Server nebo Nginx.
    • doporučujeme Apache HTTP Server jako výchozí variantu, zejména v případech, kdy je kladen důraz na jednodušší správu, požaduje se nasazení ModSecurity jako webového aplikačního firewallu nebo je prostředí orientované na tradiční způsob správy systémů, například v on-premise infrastruktuře bez automatizačních nástrojů. Použití Nginx je však plně podporované a vhodné zejména tam, kde je preferována vyšší výkonnost, jednodušší nasazení v kontejnerizovaném prostředí nebo kde je Nginx běžným standardem v rámci stávající infrastruktury.
  • Databázový server: Doporučena je MariaDB jako výkonný, otevřený a s Redmine plně kompatibilní fork původní databáze MySQL. Oproti MySQL nabízí MariaDB širší komunitní podporu, transparentní vývoj, vysokou stabilitu a velmi dobrou dokumentaci. Z pohledu Redmine poskytuje spolehlivou a plně podporovanou variantu databázového backendu. V prostředí, kde je již standardem jiný databázový systém (např. PostgreSQL nebo MySQL), je jeho použití rovněž možné, ale volba by měla zohlednit požadavek na kompatibilitu, dostupnost odbornosti, bezpečnost a provozní zkušenosti.
  • Základní softwarové balíčky: Pro zajištění správné funkčnosti instalačního procesu, správu systému a možnost bezpečné konfigurace se doporučuje mít nainstalované běžné pomocné balíčky, jako například: wget, curl, nano, software-properties-common, gnupg2, lsb-release, ca-certificates, unzip a debian-archive-keyring. Některé z těchto balíčků mohou být již přítomné v základní instalaci operačního systému, jiné může být nutné doinstalovat ručně podle zvolené distribuce a konkrétní instalační cesty.
  • Šifrovaná komunikace (HTTPS): Veškerý přístup k webovému rozhraní Redmine musí probíhat výhradně prostřednictvím šifrovaného spojení (HTTPS). Je nezbytné nakonfigurovat TLS certifikáty (např. Let’s Encrypt, interní CA nebo komerční poskytovatel) a zajistit pravidelnou obnovu platnosti. Pro zvýšení bezpečnosti se doporučuje zakázat zastaralé protokoly (např. TLS 1.0 a 1.1), použít silné šifrovací sady (cipher suites) a nakonfigurovat HTTP Strict Transport Security (HSTS). Použití HTTPS je klíčové nejen pro ochranu uživatelských přihlašovacích údajů, ale také pro integritu dat přenášených mezi klientem a serverem.
  • Redmine (aplikace): Doporučuje se instalace nejnovější stabilní verze Redmine z oficiálních zdrojů (redmine.org), aby bylo zajištěno využití aktuálních funkcí, bezpečnostních oprav a kompatibility s moderními pluginy a aplikačním prostředím. Starší verze mohou postrádat podporu nových verzí Ruby, databází nebo webových serverů, případně obsahovat známé zranitelnosti. Před nasazením konkrétní verze je vhodné ověřit její kompatibilitu se zvoleným OS, databází a aplikačním serverem podle oficiální instalační dokumentace Redmine.
  • Ruby (programovací jazyk): Redmine je vyvíjen v jazyce Ruby, a proto je nezbytné zajistit instalaci takové verze Ruby, která je plně kompatibilní s nasazovanou verzí Redmine. Kompatibilitu je nutné ověřit v oficiální dokumentaci, protože jednotlivé verze Redmine podporují pouze určité verze Ruby. Například Redmine 5.x vyžaduje Ruby 3.0 nebo 3.1, zatímco starší verze mohou být nekompatibilní s novějšími buildy. Instalaci Ruby je vhodné provádět pomocí správce verzí (např. rbenv nebo rvm), což usnadní správu závislostí a případnou budoucí aktualizaci.
  • Autentizace uživatelů (Active Directory): Doporučuje se integrovat Redmine s Active Directory (AD) za účelem jednotné správy identit a centralizované autentizace uživatelů. Redmine podporuje autentizaci pomocí LDAP, což umožňuje propojení s AD bez nutnosti správy samostatných účtů v aplikaci. Tato integrace zjednodušuje přístup uživatelů, umožňuje využití existujících bezpečnostních politik (např. hesla, uzamykání účtů) a usnadňuje auditování přihlášení. V prostředích s požadavkem na SSO (Single Sign-On) lze Redmine rozšířit o pluginy pro SAML 2.0 nebo OpenID Connect, které umožní přihlášení přes federované identity.
  • Síťový přístup (VPN nebo IP whitelisting): Pro zajištění bezpečného přístupu k Redmine z veřejné sítě se doporučuje omezit dostupnost webové aplikace pouze na důvěryhodné zdroje. Nejbezpečnější variantou je použití VPN řešení (např. WireGuard, OpenVPN), které umožní přístup k systému pouze autorizovaným uživatelům přes zabezpečený tunel. Alternativně lze využít whitelist IP adres s přístupem k aplikačnímu rozhraní (typicky port HTTPS), což zajišťuje základní síťovou filtraci nad rámec aplikační autentizace. Tato opatření výrazně snižují riziko neautorizovaného přístupu tím, že aplikace není veřejně dostupná z celého internetu a je vystavena pouze omezenému okruhu důvěryhodných uživatelů.
  • Zálohovací strategie zahrnující: Zajištění pravidelného a bezpečného zálohování je nezbytnou součástí provozu Redmine v kontextu správy zranitelností a bezpečnostně citlivých dat. Doporučuje se provádět pravidelné zálohy databáze MariaDB i aplikačních dat Redmine, a tyto zálohy ukládat na oddělené, bezpečné úložiště s omezeným přístupem. Součástí strategie by měly být také automatizované nebo pravidelně prováděné testy obnovy, které ověřují funkčnost záloh a schopnost systému být v případě incidentu rychle obnoven bez ztráty dat nebo integrity.
  • Webový aplikační firewall (WAF – např. ModSecurity): Pro zvýšení odolnosti Redmine vůči útokům na webovou vrstvu se doporučuje nasazení webového aplikačního firewallu (WAF) mezi klienty a aplikační vrstvu. Jednou z osvědčených možností je ModSecurity ve spojení s webovým serverem Apache (lze zvážit i Nginx). ModSecurity umožňuje detailní správu pravidel, inspekci HTTP provozu a filtrování na základě široké škály signatur. V kombinaci s OWASP Core Rule Set (CRS) poskytuje pokrytí proti běžným typům útoků, jako jsou SQL injection (SQLi), cross-site scripting (XSS), LFI/RFI, a další aplikační hrozby. Alternativně lze využít i jiná WAF řešení – např. na úrovni reverzní proxy, hardwarového zařízení nebo cloudové služby (např. F5, AWS WAF, Cloudflare WAF apod.). Při výběru konkrétního řešení je však vhodné zohlednit, zda daný WAF umožňuje granulární konfiguraci pravidel, transparentní ladění a laditelnou výjimkovou logiku. Tyto vlastnosti jsou u ModSecurity výhodou zejména v on-premise prostředích, kde je potřeba plná kontrola nad bezpečnostní logikou.
  • Monitoring a logování: Pro zajištění provozní stability i bezpečnostního dohledu je vhodné integrovat Redmine a jeho podpůrné komponenty do existujícího řešení pro centralizované logování a monitoring. Měla by být zajištěna agregace logů z klíčových částí systému – operačního systému, webového serveru (např. Apache), databáze (MariaDB), aplikace Redmine a firewallu. Tyto logy slouží nejen k diagnostice chyb a provozních problémů, ale i k detekci podezřelých událostí, jako jsou opakovaná neúspěšná přihlášení, neočekávané změny chování nebo možné bezpečnostní incidenty. Pro provozní monitoring je možné využít nástroje jako Prometheus a Grafana (pro sledování metrik a výkonu) nebo Zabbix (pro infrastrukturní dohled). Pro logování a bezpečnostní analýzu se doporučují nástroje typu ELK stack (Elasticsearch, Logstash, Kibana), Graylog, případně integrovaná SIEM řešení dle standardů organizace.

Instalace Redmine

Instalace Redmine by měla probíhat v souladu s oficiální dokumentací dostupnou na https://www.redmine.org/projects/redmine/wiki/RedmineInstall, která reflektuje aktuální požadavky na použité komponenty (verze Ruby, aplikační server, databázový systém apod.). Konkrétní kroky instalace je nutné přizpůsobit použité linuxové distribuci, zabezpečovacím opatřením organizace a infrastrukturním standardům (např. způsob integrace s reverzní proxy, způsob autentizace, monitoring, atd.).

Pokud je potřeba provést manuální instalaci, je důležité postupovat podle doporučeného způsobu pro dané prostředí (např. pomocí aplikačního serveru Passenger za Apache nebo Nginx, nebo pomocí Puma za Nginx), s ohledem na stabilitu, výkon a bezpečnost.

 Konfigurace a bezpečnostní zajištění Redmine

Po úspěšné instalaci je nutné Redmine dále konfigurovat s ohledem na bezpečnostní požadavky prostředí, charakter spravovaných dat a provozní scénáře. Konfigurace zahrnuje nejen samotné nastavení Redmine (např. oprávnění, notifikace, e-mailový server, zabezpečení uploadů, pluginy), ale také zajištění bezpečnosti celého webového prostředí, ve kterém Redmine běží.

Důraz je třeba klást na:

  • správné nastavení uživatelských oprávnění a rolí,
  • omezení přístupu k administrativním rozhraním,
  • zabezpečení proti běžným webovým zranitelnostem (např. XSS, CSRF, SQLi),
  • pravidelné sledování dostupných aktualizací Redmine i jeho pluginů,
  • nasazení bezpečnostních kontrol na úrovni infrastruktury i aplikace.

Doporučuje se spolupracovat s bezpečnostními specialisty nebo týmem kybernetické bezpečnosti organizace – zejména při úvodní konfiguraci, při zavádění systému do produkčního provozu a při plánování bezpečnostního testování (např. penetračního testu nebo zátěžové simulace).

Zabezpečení Redmine a jeho prostředí by mělo být řízeno v souladu s následujícími rámci a požadavky:

  • OWASP ASVS (Application Security Verification Standard): slouží jako referenční rámec pro kontrolu aplikační bezpečnosti a stanovení adekvátních opatření podle úrovně kritičnosti aplikace.
  • CIS Benchmarks: doporučují konkrétní bezpečnostní konfigurace pro operační systémy, databázové a webové servery – např. CIS Debian Benchmark, CIS Apache Benchmark.
  • Legislativní požadavky: konfigurace a provoz systému musí zohledňovat platné zákonné a regulatorní požadavky (např. GDPR, zákon o kybernetické bezpečnosti, nařízení NIS2, pokud jsou relevantní).
  • Interní bezpečnostní politiky a standardy organizace: řešení by mělo být v souladu s interním rámcem bezpečnostních opatření – včetně klasifikace informací, politik přístupových práv, správy identit, provozní bezpečnosti nebo auditu.

Takto nastavený a průběžně ověřovaný systém lze bezpečně integrovat do interního prostředí s důvěrou, že bude splňovat nejen funkční, ale i bezpečnostní, legislativní a provozní požadavky organizace.

Administrace Redmine a provozní správa aplikace

Po úspěšném nasazení Redmine je nezbytné zajistit jeho provozní správu a administraci na aplikační úrovni. To zahrnuje nejen technický provoz systému (zálohování, aktualizace, monitorování), ale také každodenní údržbu samotné aplikace Redmine jako nástroje – např. správu uživatelských účtů, projektů, oprávnění nebo instalaci a aktualizaci pluginů.

Mezi typické činnosti správce aplikace Redmine patří:

  • správa uživatelů a přístupových oprávnění (role, autentizace),
  • vytváření a údržba projektů, kategorií, trackerů a typů úkolů,
  • instalace, konfigurace a aktualizace pluginů,
  • konfigurace notifikací, e-mailových šablon a SLA pravidel,
  • řízení systému z hlediska výkonu a bezpečnosti (např. auditní logy, limity uploadů),
  • dozor nad provozním chodem aplikace a řešení aplikačních incidentů.

Další konfigurace ve spolupráci s uživateli

Redmine je flexibilní systém, jehož užitečnost výrazně závisí na tom, jak dobře je přizpůsoben konkrétním procesům cílových uživatelů. Z tohoto důvodu je nutné další kroky v konfiguraci systému realizovat ve spolupráci s odpovědnými zástupci uživatelů či týmů, pro které je Redmine nasazován.

To se týká zejména:

  • návrhu a nastavení detailního workflow pro jednotlivé typy záznamů (např. zranitelnosti, testovací nálezy, incidenty),
  • definice polí a formulářů podle potřeb uživatelů (custom fields, conditionally required fields apod.),
  • nastavení notifikačních pravidel podle rolí a eskalací,
  • integrace s dalšími systémy prostřednictvím REST API (např. skenery, ticketing, SIEM, CI/CD),
  • přizpůsobení dashboardů, reportovacích šablon a výkazů.

Tyto části konfigurace není vhodné provádět jednostranně – správné nastavení vyžaduje detailní znalost procesů konkrétní organizace a konsensus mezi jednotlivými týmy.

Z tohoto důvodu se doporučuje:

  • určit zástupce (produktového vlastníka, superuživatele nebo odpovědný tým),
  • provádět konfiguraci iterativně s jejich zapojením,
  • průběžně validovat nastavení na reálných datech nebo pilotním projektu.

Takový přístup zajistí, že Redmine nebude jen technicky funkční, ale skutečně přínosný pro organizaci z hlediska řízení kyberbezpečnosti a sledování zranitelností.

Závěr a doporučené další kroky

Redmine jako základ pro systém řízení bezpečnostních testů a správu zranitelností poskytuje flexibilní, rozšiřitelnou a auditovatelnou platformu, která může významně přispět ke zlepšení bezpečnostních procesů v organizaci. Jeho přínos spočívá zejména v:

  • sjednocení evidence a komunikace napříč týmy,
  • automatizaci části řízení životního cyklu zranitelností,
  • zvýšení transparentnosti, auditovatelnosti a kontroly nad řešením nálezů,
  • možnosti přizpůsobení bezpečnostní politice a infrastruktuře organizace.

Pro úspěšné nasazení a dlouhodobý provoz však nestačí pouze technická instalace. Klíčem k efektivnímu využití je:

  • detailní přizpůsobení workflow konkrétním potřebám organizace,
  • aktivní spolupráce mezi správci, bezpečnostními týmy a cílovými uživateli,
  • průběžná údržba systému včetně bezpečnostních aktualizací,
  • integrace s dalšími nástroji a procesy v rámci ekosystému kyberbezpečnosti.

Doporučené další kroky:

  1. Schválení struktury a workflow – ve spolupráci s týmy kyberbezpečnostního testování, SOC, provozu a vývoje.
  2. Pilotní implementace – např. na vybrané zranitelnosti z jednoho kyberbezpečnostního testu.
  3. Vyhodnocení, úpravy, škálování – na základě zpětné vazby a reálných potřeb.
  4. Integrace do širšího bezpečnostního rámce – napojení na skenery, SIEM, CMDB, helpdesk.
  5. Zajištění správy, provozu a odpovědnosti – určení správcovských rolí a bezpečnostních dozorů.

Published in Nezařazené