Files
vendoo/SECURITY.md

35 lines
1.4 KiB
Markdown

# Sicherheitsrichtlinie
Vendoo ist derzeit ein privates Projekt. Sicherheitsprobleme dürfen nicht als öffentliche GitHub-Issues mit Zugangsdaten, Tokens oder personenbezogenen Daten gemeldet werden.
## Niemals committen
- `.env` und produktive Konfigurationsdateien
- API-Schlüssel und OAuth-Tokens
- SMTP-Zugangsdaten
- Session-Secrets
- SQLite-Datenbanken einschließlich WAL- und SHM-Dateien
- Uploads, Backups und Logs
- private Zertifikate und Schlüssel
## Mindestanforderungen für Online-Betrieb
- kein direktes Port-Forwarding auf Vendoo oder die NAS-Verwaltung
- HTTPS über vorgeschalteten Reverse Proxy oder sicheren Tunnel
- sichere Cookies (`HttpOnly`, `Secure`, `SameSite`)
- korrekt begrenztes Express `trust proxy`
- CSRF-Schutz für alle schreibenden Requests
- Rollen- und Organisationsprüfung auf jeder geschützten Ressource
- Rate-Limits für Login, Magic Links und sensible APIs
- nicht privilegierter Container ohne Docker-Socket
- persistente Daten ausschließlich in expliziten Vendoo-Volumes
- automatische, geprüfte Backups
## Geheimnisse
Produktive Geheimnisse werden über Server-Secrets beziehungsweise `_FILE`-Umgebungsvariablen bereitgestellt und nicht in der Datenbank oder im Repository im Klartext abgelegt.
## Abhängigkeiten
Vor Releases werden Abhängigkeiten, Container-Basisimages und bekannte Sicherheitslücken geprüft. Sicherheitsupdates erhalten Vorrang vor neuen Features.