Files
vendoo/SECURITY.md

1.4 KiB

Sicherheitsrichtlinie

Vendoo ist derzeit ein privates Projekt. Sicherheitsprobleme dürfen nicht als öffentliche GitHub-Issues mit Zugangsdaten, Tokens oder personenbezogenen Daten gemeldet werden.

Niemals committen

  • .env und produktive Konfigurationsdateien
  • API-Schlüssel und OAuth-Tokens
  • SMTP-Zugangsdaten
  • Session-Secrets
  • SQLite-Datenbanken einschließlich WAL- und SHM-Dateien
  • Uploads, Backups und Logs
  • private Zertifikate und Schlüssel

Mindestanforderungen für Online-Betrieb

  • kein direktes Port-Forwarding auf Vendoo oder die NAS-Verwaltung
  • HTTPS über vorgeschalteten Reverse Proxy oder sicheren Tunnel
  • sichere Cookies (HttpOnly, Secure, SameSite)
  • korrekt begrenztes Express trust proxy
  • CSRF-Schutz für alle schreibenden Requests
  • Rollen- und Organisationsprüfung auf jeder geschützten Ressource
  • Rate-Limits für Login, Magic Links und sensible APIs
  • nicht privilegierter Container ohne Docker-Socket
  • persistente Daten ausschließlich in expliziten Vendoo-Volumes
  • automatische, geprüfte Backups

Geheimnisse

Produktive Geheimnisse werden über Server-Secrets beziehungsweise _FILE-Umgebungsvariablen bereitgestellt und nicht in der Datenbank oder im Repository im Klartext abgelegt.

Abhängigkeiten

Vor Releases werden Abhängigkeiten, Container-Basisimages und bekannte Sicherheitslücken geprüft. Sicherheitsupdates erhalten Vorrang vor neuen Features.