Initial commit
This commit is contained in:
1elle1
54
SECURITY.md
Normal file
54
SECURITY.md
Normal file
@@ -0,0 +1,54 @@
|
||||
# Security Policy
|
||||
|
||||
## Unterstützte Versionen
|
||||
|
||||
| Version | Unterstützt |
|
||||
|---------|-------------|
|
||||
| 1.x | Ja |
|
||||
|
||||
## Sicherheitsrichtlinien
|
||||
|
||||
### Umgebungsvariablen
|
||||
|
||||
- **Niemals** sensible Daten in den Code committen
|
||||
- `.env.local` ist in `.gitignore` aufgeführt
|
||||
- Produktions-Secrets über sichere CI/CD-Variablen verwalten
|
||||
|
||||
### Dependencies
|
||||
|
||||
- Regelmäßig `npm audit` ausführen
|
||||
- Kritische Vulnerabilities sofort beheben
|
||||
- Dependencies aktuell halten
|
||||
|
||||
### Code-Sicherheit
|
||||
|
||||
- Input-Validierung für alle Benutzereingaben
|
||||
- XSS-Prävention (React escaped standardmäßig)
|
||||
- CSRF-Schutz bei Formularen
|
||||
- Keine `dangerouslySetInnerHTML` ohne Sanitization
|
||||
- Content Security Policy (CSP) konfigurieren
|
||||
|
||||
### API-Sicherheit
|
||||
|
||||
- Rate Limiting implementieren
|
||||
- API-Keys niemals clientseitig exponieren
|
||||
- HTTPS erzwingen
|
||||
- CORS restriktiv konfigurieren
|
||||
|
||||
### Headers
|
||||
|
||||
Empfohlene Security Headers:
|
||||
|
||||
```
|
||||
X-Content-Type-Options: nosniff
|
||||
X-Frame-Options: DENY
|
||||
X-XSS-Protection: 1; mode=block
|
||||
Referrer-Policy: strict-origin-when-cross-origin
|
||||
Content-Security-Policy: [projektspezifisch]
|
||||
```
|
||||
|
||||
## Vulnerability melden
|
||||
|
||||
Bei Sicherheitsproblemen bitte direkt an den Projektverantwortlichen wenden.
|
||||
|
||||
**Keine** öffentlichen Issues für Sicherheitslücken erstellen.
|
||||
Reference in New Issue
Block a user