From 7412fd783e3d17996c195f8680e3f59be2be1783 Mon Sep 17 00:00:00 2001 From: Masterluke77 <163446896+Masterluke77@users.noreply.github.com> Date: Tue, 7 Jul 2026 09:41:32 +0200 Subject: [PATCH] docs: add security policy --- SECURITY.md | 34 ++++++++++++++++++++++++++++++++++ 1 file changed, 34 insertions(+) create mode 100644 SECURITY.md diff --git a/SECURITY.md b/SECURITY.md new file mode 100644 index 0000000..dc983e0 --- /dev/null +++ b/SECURITY.md @@ -0,0 +1,34 @@ +# Sicherheitsrichtlinie + +Vendoo ist derzeit ein privates Projekt. Sicherheitsprobleme dürfen nicht als öffentliche GitHub-Issues mit Zugangsdaten, Tokens oder personenbezogenen Daten gemeldet werden. + +## Niemals committen + +- `.env` und produktive Konfigurationsdateien +- API-Schlüssel und OAuth-Tokens +- SMTP-Zugangsdaten +- Session-Secrets +- SQLite-Datenbanken einschließlich WAL- und SHM-Dateien +- Uploads, Backups und Logs +- private Zertifikate und Schlüssel + +## Mindestanforderungen für Online-Betrieb + +- kein direktes Port-Forwarding auf Vendoo oder die NAS-Verwaltung +- HTTPS über vorgeschalteten Reverse Proxy oder sicheren Tunnel +- sichere Cookies (`HttpOnly`, `Secure`, `SameSite`) +- korrekt begrenztes Express `trust proxy` +- CSRF-Schutz für alle schreibenden Requests +- Rollen- und Organisationsprüfung auf jeder geschützten Ressource +- Rate-Limits für Login, Magic Links und sensible APIs +- nicht privilegierter Container ohne Docker-Socket +- persistente Daten ausschließlich in expliziten Vendoo-Volumes +- automatische, geprüfte Backups + +## Geheimnisse + +Produktive Geheimnisse werden über Server-Secrets beziehungsweise `_FILE`-Umgebungsvariablen bereitgestellt und nicht in der Datenbank oder im Repository im Klartext abgelegt. + +## Abhängigkeiten + +Vor Releases werden Abhängigkeiten, Container-Basisimages und bekannte Sicherheitslücken geprüft. Sicherheitsupdates erhalten Vorrang vor neuen Features.