55 lines
1.2 KiB
Markdown
55 lines
1.2 KiB
Markdown
# Security Policy
|
|
|
|
## Unterstützte Versionen
|
|
|
|
| Version | Unterstützt |
|
|
|---------|-------------|
|
|
| 1.x | Ja |
|
|
|
|
## Sicherheitsrichtlinien
|
|
|
|
### Umgebungsvariablen
|
|
|
|
- **Niemals** sensible Daten in den Code committen
|
|
- `.env.local` ist in `.gitignore` aufgeführt
|
|
- Produktions-Secrets über sichere CI/CD-Variablen verwalten
|
|
|
|
### Dependencies
|
|
|
|
- Regelmäßig `npm audit` ausführen
|
|
- Kritische Vulnerabilities sofort beheben
|
|
- Dependencies aktuell halten
|
|
|
|
### Code-Sicherheit
|
|
|
|
- Input-Validierung für alle Benutzereingaben
|
|
- XSS-Prävention (React escaped standardmäßig)
|
|
- CSRF-Schutz bei Formularen
|
|
- Keine `dangerouslySetInnerHTML` ohne Sanitization
|
|
- Content Security Policy (CSP) konfigurieren
|
|
|
|
### API-Sicherheit
|
|
|
|
- Rate Limiting implementieren
|
|
- API-Keys niemals clientseitig exponieren
|
|
- HTTPS erzwingen
|
|
- CORS restriktiv konfigurieren
|
|
|
|
### Headers
|
|
|
|
Empfohlene Security Headers:
|
|
|
|
```
|
|
X-Content-Type-Options: nosniff
|
|
X-Frame-Options: DENY
|
|
X-XSS-Protection: 1; mode=block
|
|
Referrer-Policy: strict-origin-when-cross-origin
|
|
Content-Security-Policy: [projektspezifisch]
|
|
```
|
|
|
|
## Vulnerability melden
|
|
|
|
Bei Sicherheitsproblemen bitte direkt an den Projektverantwortlichen wenden.
|
|
|
|
**Keine** öffentlichen Issues für Sicherheitslücken erstellen.
|