Die Kategorie Konfiguration stellt sicher, dass Anwendungen über eine sichere Build-Umgebung und gesicherte Bibliothekskomponenten von Drittparteien verfügen. Insbesondere muss sichergestellt werden, dass eine Build- und Bereitstellungspipeline wiederholbar ist, automatisierte Tests durchgeführt und verhindert wird, dass bekannte Sicherheitsprobleme bereitgestellt werden. Dies beinhaltet, Abhängigkeiten auf dem neuesten Stand und frei von bekannten Schwachstellen zu halten.