# Sicherheitsrichtlinie Vendoo ist derzeit ein privates Projekt. Sicherheitsprobleme dürfen nicht als öffentliche GitHub-Issues mit Zugangsdaten, Tokens oder personenbezogenen Daten gemeldet werden. ## Niemals committen - `.env` und produktive Konfigurationsdateien - API-Schlüssel und OAuth-Tokens - SMTP-Zugangsdaten - Session-Secrets - SQLite-Datenbanken einschließlich WAL- und SHM-Dateien - Uploads, Backups und Logs - private Zertifikate und Schlüssel ## Mindestanforderungen für Online-Betrieb - kein direktes Port-Forwarding auf Vendoo oder die NAS-Verwaltung - HTTPS über vorgeschalteten Reverse Proxy oder sicheren Tunnel - sichere Cookies (`HttpOnly`, `Secure`, `SameSite`) - korrekt begrenztes Express `trust proxy` - CSRF-Schutz für alle schreibenden Requests - Rollen- und Organisationsprüfung auf jeder geschützten Ressource - Rate-Limits für Login, Magic Links und sensible APIs - nicht privilegierter Container ohne Docker-Socket - persistente Daten ausschließlich in expliziten Vendoo-Volumes - automatische, geprüfte Backups ## Geheimnisse Produktive Geheimnisse werden über Server-Secrets beziehungsweise `_FILE`-Umgebungsvariablen bereitgestellt und nicht in der Datenbank oder im Repository im Klartext abgelegt. ## Abhängigkeiten Vor Releases werden Abhängigkeiten, Container-Basisimages und bekannte Sicherheitslücken geprüft. Sicherheitsupdates erhalten Vorrang vor neuen Features.