66 lines
2.1 KiB
Markdown
66 lines
2.1 KiB
Markdown
# Security Policy
|
|
|
|
## Scope
|
|
|
|
Dieses Repo beschreibt und automatisiert ein lokales Infrastruktur-Setup fuer eine Arch-Linux-Workstation.
|
|
Sicherheitsrelevante Meldungen sind besonders wichtig bei:
|
|
|
|
- Container-Privilegien und Volume-Mounts
|
|
- Netzwerkdesign rund um `br0`, `macvlan` und lokale Bindings
|
|
- Backup-/Restore- und Rollback-Verhalten
|
|
- Secret-Handling in `.env`, systemd-Units oder Hilfsskripten
|
|
- Healthchecks, Update-Logik und unerwarteten Downgrade-/Rollback-Faellen
|
|
|
|
## Was als Sicherheitsproblem gilt
|
|
|
|
Bitte melde insbesondere:
|
|
|
|
- unbeabsichtigte Exponierung von Hermes oder OpenClaw auf allen Interfaces
|
|
- unsichere Defaults bei Docker-Rechten oder Netzfreigaben
|
|
- Fehler, durch die Secrets im Repo, in Logs oder in Backups landen koennen
|
|
- Rollback-/Restore-Pfade, die zu Datenverlust oder Privilegienproblemen fuehren
|
|
- Konfigurationsfehler, die Container versehentlich zu stark koppeln
|
|
|
|
## Was nicht darunter faellt
|
|
|
|
Diese Punkte sind wichtig, aber keine Security-Meldung im engeren Sinn:
|
|
|
|
- reine Doku-Fehler ohne Sicherheitsauswirkung
|
|
- Feature-Wuensche
|
|
- Port- oder Naming-Praeferenzen ohne Risiko
|
|
- allgemeine Bedienfragen
|
|
|
|
## Meldung von Schwachstellen
|
|
|
|
Bitte **keine sicherheitsrelevanten Details direkt in einem oeffentlichen Issue posten**.
|
|
|
|
Empfohlener Ablauf:
|
|
|
|
1. Privaten Kontakt zum Maintainer herstellen
|
|
2. Betroffene Datei, Version/Tag und Konfiguration beschreiben
|
|
3. Moegliche Auswirkung erklaeren
|
|
4. Reproduktionsschritte knapp dokumentieren
|
|
5. Falls moeglich einen sicheren Fix-Vorschlag beilegen
|
|
|
|
Empfohlene Informationen:
|
|
|
|
- Repo-Tag oder Commit
|
|
- relevante `.env`-Werte **ohne Secrets**
|
|
- Host-Umgebung (z. B. Arch-Version, Docker-Version)
|
|
- Logs oder `doctor`-Ausgaben, soweit bereinigt
|
|
|
|
## Reaktionsziel
|
|
|
|
Es gibt hier kein formelles SLA. Ziel ist dennoch:
|
|
|
|
- zeitnahe Bestaetigung der Meldung
|
|
- Einordnung nach Risiko
|
|
- Fix oder Mitigation-Hinweis
|
|
- kurzer Eintrag im `CHANGELOG.md`, wenn eine harte Aenderung noetig ist
|
|
|
|
## Support-Fenster
|
|
|
|
Aktiv gepflegt wird jeweils der aktuelle Stand auf `main` sowie der letzte getaggte Release-Stand, soweit reproduzierbar.
|
|
|
|
Aeltere Tags koennen Hinweise bekommen, aber ohne zugesagte Rueckportierung.
|