# Security Policy

## Unterstützte Versionen

| Version | Unterstützt |
|---------|-------------|
| 1.x     | Ja          |

## Sicherheitsrichtlinien

### Umgebungsvariablen

- **Niemals** sensible Daten in den Code committen
- `.env.local` ist in `.gitignore` aufgeführt
- Produktions-Secrets über sichere CI/CD-Variablen verwalten

### Dependencies

- Regelmäßig `npm audit` ausführen
- Kritische Vulnerabilities sofort beheben
- Dependencies aktuell halten

### Code-Sicherheit

- Input-Validierung für alle Benutzereingaben
- XSS-Prävention (React escaped standardmäßig)
- CSRF-Schutz bei Formularen
- Keine `dangerouslySetInnerHTML` ohne Sanitization
- Content Security Policy (CSP) konfigurieren

### API-Sicherheit

- Rate Limiting implementieren
- API-Keys niemals clientseitig exponieren
- HTTPS erzwingen
- CORS restriktiv konfigurieren

### Headers

Empfohlene Security Headers:

```
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
Referrer-Policy: strict-origin-when-cross-origin
Content-Security-Policy: [projektspezifisch]
```

## Vulnerability melden

Bei Sicherheitsproblemen bitte direkt an den Projektverantwortlichen wenden.

**Keine** öffentlichen Issues für Sicherheitslücken erstellen.