Initial version of the Hermes self learning agent setup of JR IT Services.
This commit is contained in:
+65
@@ -0,0 +1,65 @@
|
||||
# Security Policy
|
||||
|
||||
## Scope
|
||||
|
||||
Dieses Repo beschreibt und automatisiert ein lokales Infrastruktur-Setup fuer eine Arch-Linux-Workstation.
|
||||
Sicherheitsrelevante Meldungen sind besonders wichtig bei:
|
||||
|
||||
- Container-Privilegien und Volume-Mounts
|
||||
- Netzwerkdesign rund um `br0`, `macvlan` und lokale Bindings
|
||||
- Backup-/Restore- und Rollback-Verhalten
|
||||
- Secret-Handling in `.env`, systemd-Units oder Hilfsskripten
|
||||
- Healthchecks, Update-Logik und unerwarteten Downgrade-/Rollback-Faellen
|
||||
|
||||
## Was als Sicherheitsproblem gilt
|
||||
|
||||
Bitte melde insbesondere:
|
||||
|
||||
- unbeabsichtigte Exponierung von Hermes oder OpenClaw auf allen Interfaces
|
||||
- unsichere Defaults bei Docker-Rechten oder Netzfreigaben
|
||||
- Fehler, durch die Secrets im Repo, in Logs oder in Backups landen koennen
|
||||
- Rollback-/Restore-Pfade, die zu Datenverlust oder Privilegienproblemen fuehren
|
||||
- Konfigurationsfehler, die Container versehentlich zu stark koppeln
|
||||
|
||||
## Was nicht darunter faellt
|
||||
|
||||
Diese Punkte sind wichtig, aber keine Security-Meldung im engeren Sinn:
|
||||
|
||||
- reine Doku-Fehler ohne Sicherheitsauswirkung
|
||||
- Feature-Wuensche
|
||||
- Port- oder Naming-Praeferenzen ohne Risiko
|
||||
- allgemeine Bedienfragen
|
||||
|
||||
## Meldung von Schwachstellen
|
||||
|
||||
Bitte **keine sicherheitsrelevanten Details direkt in einem oeffentlichen Issue posten**.
|
||||
|
||||
Empfohlener Ablauf:
|
||||
|
||||
1. Privaten Kontakt zum Maintainer herstellen
|
||||
2. Betroffene Datei, Version/Tag und Konfiguration beschreiben
|
||||
3. Moegliche Auswirkung erklaeren
|
||||
4. Reproduktionsschritte knapp dokumentieren
|
||||
5. Falls moeglich einen sicheren Fix-Vorschlag beilegen
|
||||
|
||||
Empfohlene Informationen:
|
||||
|
||||
- Repo-Tag oder Commit
|
||||
- relevante `.env`-Werte **ohne Secrets**
|
||||
- Host-Umgebung (z. B. Arch-Version, Docker-Version)
|
||||
- Logs oder `doctor`-Ausgaben, soweit bereinigt
|
||||
|
||||
## Reaktionsziel
|
||||
|
||||
Es gibt hier kein formelles SLA. Ziel ist dennoch:
|
||||
|
||||
- zeitnahe Bestaetigung der Meldung
|
||||
- Einordnung nach Risiko
|
||||
- Fix oder Mitigation-Hinweis
|
||||
- kurzer Eintrag im `CHANGELOG.md`, wenn eine harte Aenderung noetig ist
|
||||
|
||||
## Support-Fenster
|
||||
|
||||
Aktiv gepflegt wird jeweils der aktuelle Stand auf `main` sowie der letzte getaggte Release-Stand, soweit reproduzierbar.
|
||||
|
||||
Aeltere Tags koennen Hinweise bekommen, aber ohne zugesagte Rueckportierung.
|
||||
Reference in New Issue
Block a user