Files
alan/SECURITY.md
T

2.1 KiB

Security Policy

Scope

Dieses Repo beschreibt und automatisiert ein lokales Infrastruktur-Setup fuer eine Arch-Linux-Workstation. Sicherheitsrelevante Meldungen sind besonders wichtig bei:

  • Container-Privilegien und Volume-Mounts
  • Netzwerkdesign rund um br0, macvlan und lokale Bindings
  • Backup-/Restore- und Rollback-Verhalten
  • Secret-Handling in .env, systemd-Units oder Hilfsskripten
  • Healthchecks, Update-Logik und unerwarteten Downgrade-/Rollback-Faellen

Was als Sicherheitsproblem gilt

Bitte melde insbesondere:

  • unbeabsichtigte Exponierung von Hermes oder OpenClaw auf allen Interfaces
  • unsichere Defaults bei Docker-Rechten oder Netzfreigaben
  • Fehler, durch die Secrets im Repo, in Logs oder in Backups landen koennen
  • Rollback-/Restore-Pfade, die zu Datenverlust oder Privilegienproblemen fuehren
  • Konfigurationsfehler, die Container versehentlich zu stark koppeln

Was nicht darunter faellt

Diese Punkte sind wichtig, aber keine Security-Meldung im engeren Sinn:

  • reine Doku-Fehler ohne Sicherheitsauswirkung
  • Feature-Wuensche
  • Port- oder Naming-Praeferenzen ohne Risiko
  • allgemeine Bedienfragen

Meldung von Schwachstellen

Bitte keine sicherheitsrelevanten Details direkt in einem oeffentlichen Issue posten.

Empfohlener Ablauf:

  1. Privaten Kontakt zum Maintainer herstellen
  2. Betroffene Datei, Version/Tag und Konfiguration beschreiben
  3. Moegliche Auswirkung erklaeren
  4. Reproduktionsschritte knapp dokumentieren
  5. Falls moeglich einen sicheren Fix-Vorschlag beilegen

Empfohlene Informationen:

  • Repo-Tag oder Commit
  • relevante .env-Werte ohne Secrets
  • Host-Umgebung (z. B. Arch-Version, Docker-Version)
  • Logs oder doctor-Ausgaben, soweit bereinigt

Reaktionsziel

Es gibt hier kein formelles SLA. Ziel ist dennoch:

  • zeitnahe Bestaetigung der Meldung
  • Einordnung nach Risiko
  • Fix oder Mitigation-Hinweis
  • kurzer Eintrag im CHANGELOG.md, wenn eine harte Aenderung noetig ist

Support-Fenster

Aktiv gepflegt wird jeweils der aktuelle Stand auf main sowie der letzte getaggte Release-Stand, soweit reproduzierbar.

Aeltere Tags koennen Hinweise bekommen, aber ohne zugesagte Rueckportierung.