Files
vendoo/docs/WEB_UPDATE_CENTER_1_41_0.md
Masterluke77andGitHub 6f48827f4d Vendoo 1.41.2 – Git Ignore Boundary & Module Tracking Hotfix (#18)
* docs: prepare Vendoo 1.41.2 git-ignore boundary hotfix

* fix: track native source modules with root-anchored runtime ignores
2026-07-09 17:09:00 +02:00

1.3 KiB
Raw Permalink Blame History

Vendoo 1.41.0 kontrollierte Web-Updates

Sicherheitsmodell

Vendoo aktualisiert seinen eigenen Container nicht. Es besitzt keinen Docker-Socket und führt weder git pull noch docker compose up aus.

Der Ablauf lautet:

Administrator → Vendoo Update Center → Vorab-Backup → Coolify Webhook/API → neuer Container → /readyz

Gespeicherte Konfiguration

Normale Werte liegen in der persistenten Runtime-Konfiguration:

  • Provider
  • Coolify URL
  • Resource UUID
  • Trigger-Modus
  • GitHub Repository und Branch
  • Update-Kanal
  • Backupoptionen

Secrets liegen AES-256-GCM-verschlüsselt im Secret Store:

  • COOLIFY_API_TOKEN
  • COOLIFY_DEPLOY_WEBHOOK_URL

Deployment-Schutz

  • ausschließlich Administratoren mit updates.manage
  • exakte Bestätigung DEPLOY
  • Rate Limit
  • CSRF-Schutz
  • Audit-Protokoll
  • standardmäßig Vorab-Backup einschließlich Konfiguration
  • HTTPS für Coolify in Produktion
  • kein Token oder Webhook-Klarwert in API-Antworten
  • kein Redirect-Following bei externen Deployment-Anfragen
  • feste Zeitlimits
  • maximal 4.000 Zeichen externe Antwortdiagnose

Update-Kanäle

  • stable: produktive GitHub Releases
  • beta: optionale Vorabversionen

Der Kanal wird gespeichert und steht für spätere Release-Manifest- und Registry-Erweiterungen bereit.