WIP: [Ersetzt durch #11] Vendoo 1.37.0 – Security, Secrets & Observability Foundation #10

Closed
Masterluke77 wants to merge 1 commits from release/1.37.0-security-foundation into main
Masterluke77 commented 2026-07-09 11:11:28 +00:00 (Migrated from github.com)

Ziel

Vendoo erhält einen nativen Sicherheitskern für verschlüsselte Zugangsdaten, strikte Script-CSP, Request-/Correlation-IDs, strukturierte Telemetrie und zentrale Eingabeverträge.

Enthalten

  • vendoo.security als natives Kernmodul
  • AES-256-GCM-verschlüsselter Secret-Speicher
  • separater Master-Key mit restriktiven Dateirechten
  • automatische Migration bestehender Runtime-Secrets mit Sicherungskopie
  • Secret-Metadaten und Maskierung ohne Klartextausgabe
  • administrative Secret-Routen mit Deny-by-default-Policy
  • zentrale Input-Schema-Validierung für neue Kernel-Routen
  • CSP ohne Inline-Skripte und Inline-Eventhandler
  • externe Login-Logik und zentrale UI-Eventdelegation
  • Request- und Correlation-IDs
  • strukturierte JSON-Request-Telemetrie
  • erweitertes Security-Dashboard
  • sichere SMTP-Zertifikatsprüfung standardmäßig aktiv

Sicherheitsgrenzen

  • Secret-Klarwerte werden nie über API oder Dashboard ausgegeben
  • unbekannte oder nicht freigegebene Secret-Namen werden abgewiesen
  • mehrzeilige und übergroße Secret-Werte werden blockiert
  • Runtime-Konfiguration wird vor Migration gesichert
  • keine automatische Löschung von Datenbanken, Uploads, Backups oder Modellen

Merge-Sperre

Nicht mergen, bis der vollständige Vendoo-1.37.0-Quellstand über den Deploy-Assistenten übertragen wurde, Security- und Architektur-Gates erfolgreich sind und der vollständige Diff geprüft wurde.

## Ziel Vendoo erhält einen nativen Sicherheitskern für verschlüsselte Zugangsdaten, strikte Script-CSP, Request-/Correlation-IDs, strukturierte Telemetrie und zentrale Eingabeverträge. ## Enthalten - `vendoo.security` als natives Kernmodul - AES-256-GCM-verschlüsselter Secret-Speicher - separater Master-Key mit restriktiven Dateirechten - automatische Migration bestehender Runtime-Secrets mit Sicherungskopie - Secret-Metadaten und Maskierung ohne Klartextausgabe - administrative Secret-Routen mit Deny-by-default-Policy - zentrale Input-Schema-Validierung für neue Kernel-Routen - CSP ohne Inline-Skripte und Inline-Eventhandler - externe Login-Logik und zentrale UI-Eventdelegation - Request- und Correlation-IDs - strukturierte JSON-Request-Telemetrie - erweitertes Security-Dashboard - sichere SMTP-Zertifikatsprüfung standardmäßig aktiv ## Sicherheitsgrenzen - Secret-Klarwerte werden nie über API oder Dashboard ausgegeben - unbekannte oder nicht freigegebene Secret-Namen werden abgewiesen - mehrzeilige und übergroße Secret-Werte werden blockiert - Runtime-Konfiguration wird vor Migration gesichert - keine automatische Löschung von Datenbanken, Uploads, Backups oder Modellen ## Merge-Sperre **Nicht mergen**, bis der vollständige Vendoo-1.37.0-Quellstand über den Deploy-Assistenten übertragen wurde, Security- und Architektur-Gates erfolgreich sind und der vollständige Diff geprüft wurde.
Masterluke77 commented 2026-07-09 11:21:38 +00:00 (Migrated from github.com)

Vendoo 1.37.0 ist lokal fertiggestellt. Abnahme: 398 Dateien im Git-Sicherheitsgate, 397 Quelldateien im Releasemanifest, 405 Dateien im vollständigen Übergabepaket, 12 Module (2 nativ: Themes und Security; 10 Legacy Bridges), 42 Design Tokens, 68 Migrationsblöcke auf frischer und bestehender Datenbank sowie 151 reproduzierbar aufgelöste npm-Pakete. Security-, Architektur-, Theme-, Deployment-, Staging-, Konfigurations-, Installer- und Datenbank-Gates sind erfolgreich. Der vollständige Quellstand muss noch über GitHub-Deploy-Assistent.bat auf release/1.37.0-security-foundation gepusht werden. Die native better-sqlite3-Kompilierung konnte in der Sandbox wegen fehlendem Netzwerkzugriff auf Prebuilds und Node-Header nicht als Laufzeittest abgeschlossen werden.

Vendoo 1.37.0 ist lokal fertiggestellt. Abnahme: 398 Dateien im Git-Sicherheitsgate, 397 Quelldateien im Releasemanifest, 405 Dateien im vollständigen Übergabepaket, 12 Module (2 nativ: Themes und Security; 10 Legacy Bridges), 42 Design Tokens, 68 Migrationsblöcke auf frischer und bestehender Datenbank sowie 151 reproduzierbar aufgelöste npm-Pakete. Security-, Architektur-, Theme-, Deployment-, Staging-, Konfigurations-, Installer- und Datenbank-Gates sind erfolgreich. Der vollständige Quellstand muss noch über `GitHub-Deploy-Assistent.bat` auf `release/1.37.0-security-foundation` gepusht werden. Die native `better-sqlite3`-Kompilierung konnte in der Sandbox wegen fehlendem Netzwerkzugriff auf Prebuilds und Node-Header nicht als Laufzeittest abgeschlossen werden.
Masterluke77 commented 2026-07-09 11:43:30 +00:00 (Migrated from github.com)

Dieser vorbereitete Security-Foundation-Import wird durch Vendoo 1.38.0 / Draft-PR #11 fortgeführt. Version 1.38.0 migriert zusätzlich Authentifizierung, Benutzer, Sitzungen und Einstellungen als native Module. Bitte PR #10 nicht mergen.

Dieser vorbereitete Security-Foundation-Import wird durch **Vendoo 1.38.0 / Draft-PR #11** fortgeführt. Version 1.38.0 migriert zusätzlich Authentifizierung, Benutzer, Sitzungen und Einstellungen als native Module. Bitte PR #10 nicht mergen.

Pull request closed

Please reopen this pull request to perform a merge.
This pull request is marked as a work in progress.
Sign in to join this conversation.