docs: add security policy
This commit is contained in:
+34
@@ -0,0 +1,34 @@
|
||||
# Sicherheitsrichtlinie
|
||||
|
||||
Vendoo ist derzeit ein privates Projekt. Sicherheitsprobleme dürfen nicht als öffentliche GitHub-Issues mit Zugangsdaten, Tokens oder personenbezogenen Daten gemeldet werden.
|
||||
|
||||
## Niemals committen
|
||||
|
||||
- `.env` und produktive Konfigurationsdateien
|
||||
- API-Schlüssel und OAuth-Tokens
|
||||
- SMTP-Zugangsdaten
|
||||
- Session-Secrets
|
||||
- SQLite-Datenbanken einschließlich WAL- und SHM-Dateien
|
||||
- Uploads, Backups und Logs
|
||||
- private Zertifikate und Schlüssel
|
||||
|
||||
## Mindestanforderungen für Online-Betrieb
|
||||
|
||||
- kein direktes Port-Forwarding auf Vendoo oder die NAS-Verwaltung
|
||||
- HTTPS über vorgeschalteten Reverse Proxy oder sicheren Tunnel
|
||||
- sichere Cookies (`HttpOnly`, `Secure`, `SameSite`)
|
||||
- korrekt begrenztes Express `trust proxy`
|
||||
- CSRF-Schutz für alle schreibenden Requests
|
||||
- Rollen- und Organisationsprüfung auf jeder geschützten Ressource
|
||||
- Rate-Limits für Login, Magic Links und sensible APIs
|
||||
- nicht privilegierter Container ohne Docker-Socket
|
||||
- persistente Daten ausschließlich in expliziten Vendoo-Volumes
|
||||
- automatische, geprüfte Backups
|
||||
|
||||
## Geheimnisse
|
||||
|
||||
Produktive Geheimnisse werden über Server-Secrets beziehungsweise `_FILE`-Umgebungsvariablen bereitgestellt und nicht in der Datenbank oder im Repository im Klartext abgelegt.
|
||||
|
||||
## Abhängigkeiten
|
||||
|
||||
Vor Releases werden Abhängigkeiten, Container-Basisimages und bekannte Sicherheitslücken geprüft. Sicherheitsupdates erhalten Vorrang vor neuen Features.
|
||||
Reference in New Issue
Block a user