Die Kategorie „Konfiguration“ stellt sicher, dass Anwendungen über eine sichere Build-Umgebung und gehärtete Drittanbieterbibliothekskomponenten verfügen. Insbesondere muss sichergestellt werden, dass eine Build- und Bereitstellungs-Pipeline wiederholbar ist, automatisierte Tests umfasst und verhindert, dass bekannte Sicherheitsprobleme bereitgestellt werden. Dies beinhaltet, Abhängigkeiten auf dem neuesten Stand und frei von bekannten Schwachstellen zu halten.