1.4 KiB
1.4 KiB
Sicherheitsrichtlinie
Vendoo ist derzeit ein privates Projekt. Sicherheitsprobleme dürfen nicht als öffentliche GitHub-Issues mit Zugangsdaten, Tokens oder personenbezogenen Daten gemeldet werden.
Niemals committen
.envund produktive Konfigurationsdateien- API-Schlüssel und OAuth-Tokens
- SMTP-Zugangsdaten
- Session-Secrets
- SQLite-Datenbanken einschließlich WAL- und SHM-Dateien
- Uploads, Backups und Logs
- private Zertifikate und Schlüssel
Mindestanforderungen für Online-Betrieb
- kein direktes Port-Forwarding auf Vendoo oder die NAS-Verwaltung
- HTTPS über vorgeschalteten Reverse Proxy oder sicheren Tunnel
- sichere Cookies (
HttpOnly,Secure,SameSite) - korrekt begrenztes Express
trust proxy - CSRF-Schutz für alle schreibenden Requests
- Rollen- und Organisationsprüfung auf jeder geschützten Ressource
- Rate-Limits für Login, Magic Links und sensible APIs
- nicht privilegierter Container ohne Docker-Socket
- persistente Daten ausschließlich in expliziten Vendoo-Volumes
- automatische, geprüfte Backups
Geheimnisse
Produktive Geheimnisse werden über Server-Secrets beziehungsweise _FILE-Umgebungsvariablen bereitgestellt und nicht in der Datenbank oder im Repository im Klartext abgelegt.
Abhängigkeiten
Vor Releases werden Abhängigkeiten, Container-Basisimages und bekannte Sicherheitslücken geprüft. Sicherheitsupdates erhalten Vorrang vor neuen Features.