35 lines
1.4 KiB
Markdown
35 lines
1.4 KiB
Markdown
# Sicherheitsrichtlinie
|
|
|
|
Vendoo ist derzeit ein privates Projekt. Sicherheitsprobleme dürfen nicht als öffentliche GitHub-Issues mit Zugangsdaten, Tokens oder personenbezogenen Daten gemeldet werden.
|
|
|
|
## Niemals committen
|
|
|
|
- `.env` und produktive Konfigurationsdateien
|
|
- API-Schlüssel und OAuth-Tokens
|
|
- SMTP-Zugangsdaten
|
|
- Session-Secrets
|
|
- SQLite-Datenbanken einschließlich WAL- und SHM-Dateien
|
|
- Uploads, Backups und Logs
|
|
- private Zertifikate und Schlüssel
|
|
|
|
## Mindestanforderungen für Online-Betrieb
|
|
|
|
- kein direktes Port-Forwarding auf Vendoo oder die NAS-Verwaltung
|
|
- HTTPS über vorgeschalteten Reverse Proxy oder sicheren Tunnel
|
|
- sichere Cookies (`HttpOnly`, `Secure`, `SameSite`)
|
|
- korrekt begrenztes Express `trust proxy`
|
|
- CSRF-Schutz für alle schreibenden Requests
|
|
- Rollen- und Organisationsprüfung auf jeder geschützten Ressource
|
|
- Rate-Limits für Login, Magic Links und sensible APIs
|
|
- nicht privilegierter Container ohne Docker-Socket
|
|
- persistente Daten ausschließlich in expliziten Vendoo-Volumes
|
|
- automatische, geprüfte Backups
|
|
|
|
## Geheimnisse
|
|
|
|
Produktive Geheimnisse werden über Server-Secrets beziehungsweise `_FILE`-Umgebungsvariablen bereitgestellt und nicht in der Datenbank oder im Repository im Klartext abgelegt.
|
|
|
|
## Abhängigkeiten
|
|
|
|
Vor Releases werden Abhängigkeiten, Container-Basisimages und bekannte Sicherheitslücken geprüft. Sicherheitsupdates erhalten Vorrang vor neuen Features.
|