generated from sendnrw/template_golang
Initial commit
This commit is contained in:
sendnrw
214
SECURITY.md
Normal file
214
SECURITY.md
Normal file
@@ -0,0 +1,214 @@
|
||||
# SECURITY.md
|
||||
|
||||
## Inhalt
|
||||
|
||||
- [Kontakt & Meldung von Schwachstellen](#kontakt--meldung-von-schwachstellen)
|
||||
- [Geltungsbereich](#geltungsbereich)
|
||||
- [Unterstützte Versionen](#unterstützte-versionen)
|
||||
- [Transport- & Netzwerksicherheit (TLS)](#transport--netzwerksicherheit-tls)
|
||||
- [Secret-Management (Docker-Secrets, Vault, .env)](#secret-management-docker-secrets-vault-env)
|
||||
- [Container- & Orchestrierungs-Sicherheit](#container--orchestrierungs-sicherheit)
|
||||
- [Sicheres Hosting & Infrastruktur-Hardening](#sicheres-hosting--infrastruktur-hardening)
|
||||
- [Supply-Chain, Abhängigkeiten & SBOM](#supply-chain-abhängigkeiten--sbom)
|
||||
- [CI/CD- & Releasemanagement-Sicherheit](#cicd--releasemanagement-sicherheit)
|
||||
- [Anwendungs-Hardening (Headers, CORS, CSP)](#anwendungs-hardening-headers-cors-csp)
|
||||
- [Daten- & Protokollierungsrichtlinien](#daten--protokollierungsrichtlinien)
|
||||
- [Sicherheits-Tests](#sicherheits-tests)
|
||||
- [Vorfallreaktion & Backups](#vorfallreaktion--backups)
|
||||
- [Bedrohungsmodell (kurz)](#bedrohungsmodell-kurz)
|
||||
|
||||
---
|
||||
|
||||
## Kontakt & Meldung von Schwachstellen
|
||||
|
||||
Wenn Sie eine Schwachstelle gefunden haben, melden Sie diese **vertraulich**:
|
||||
|
||||
- E-Mail: **security@patchping.org**
|
||||
- Optional PGP: **<Fingerprint>**, öffentlicher Schlüssel: **<Link/Key-ID>**
|
||||
- Reaktionsziel: Erstbestätigung innerhalb von **3 Werktagen**, Status-Update innerhalb von **7 Tagen**.
|
||||
- Bitte nutzen Sie **Responsible Disclosure**: Keine öffentliche Offenlegung, keine Datenveränderung, keine Dienstunterbrechung. Testen Sie nur Systeme im Geltungsbereich.
|
||||
|
||||
**Außerhalb des Geltungsbereichs**: Social Engineering, physischer Zugriff, DDoS/Stress-Tests ohne ausdrückliche schriftliche Genehmigung.
|
||||
|
||||
---
|
||||
|
||||
## Geltungsbereich
|
||||
|
||||
- **Repos / Services**: `<repo-name>`, `<service-name>`
|
||||
- **Umgebungen**: Dev, Staging, Production
|
||||
- **Abhängigkeiten**: Alle in `package.json`/`go.mod`/`requirements.txt` etc.
|
||||
- **Nicht umfasst**: Drittanbieter-Dienste außerhalb unserer Kontrolle, persönliche Forks.
|
||||
|
||||
---
|
||||
|
||||
## Unterstützte Versionen
|
||||
|
||||
| Version | Status | Sicherheitsfixes bis |
|
||||
|--------:|---------------|----------------------|
|
||||
| `main` | aktiv | laufend |
|
||||
| `vX.Y` | LTS (12 Mon.) | `<Datum>` |
|
||||
| <älter> | EOL | – |
|
||||
|
||||
> Sicherheitsupdates erhalten ausschließlich **unterstützte** Linien.
|
||||
|
||||
---
|
||||
|
||||
## Transport & Netzwerksicherheit (TLS)
|
||||
|
||||
- **Anforderung**: TLS **1.2+** (bevorzugt **TLS 1.3**).
|
||||
- **Zertifikate**: Aus vertrauenswürdigem CA-Store, **OCSP-Stapling** aktivieren, **HSTS** mit Preload für Public Sites (nach sorgfältiger Prüfung).
|
||||
- **Cipher**: Moderne Profile (z. B. Mozilla „intermediate“ oder „modern“). Kein `TLS_RSA_*`, keine Null-/Export-Cipher.
|
||||
- **Perfect Forward Secrecy** (ECDHE) verpflichtend.
|
||||
- **In-Cluster** (Service-zu-Service): mTLS (z. B. mit Service Mesh oder Sidecars).
|
||||
|
||||
**Beispiel NGINX (vereinfacht)**:
|
||||
```nginx
|
||||
ssl_protocols TLSv1.2 TLSv1.3;
|
||||
ssl_prefer_server_ciphers on;
|
||||
ssl_ciphers HIGH:!aNULL:!MD5:!3DES;
|
||||
ssl_session_cache shared:SSL:10m;
|
||||
ssl_stapling on; ssl_stapling_verify on;
|
||||
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Secret-Management (Docker-Secrets, Vault, .env)
|
||||
|
||||
- **Do not**: Secrets in Git, Images, Layern oder in `ENV` persistieren.
|
||||
- **Do**:
|
||||
- **Docker Swarm/Kubernetes/Compose Secrets** oder **Vault / Cloud Secret Manager** verwenden.
|
||||
- Rotations-Policy, minimale TTLs, Least Privilege.
|
||||
- Im Code nur **über Files/Runtime** einlesen (`/run/secrets/...` o. ä.).
|
||||
|
||||
**Docker Compose (Beispiel)**:
|
||||
```yaml
|
||||
services:
|
||||
app:
|
||||
image: your/app:latest
|
||||
secrets:
|
||||
- db_password
|
||||
environment:
|
||||
DB_PASSWORD_FILE: /run/secrets/db_password
|
||||
secrets:
|
||||
db_password:
|
||||
file: ./secrets/db_password.txt # nicht ins Repo committen
|
||||
```
|
||||
|
||||
**Im Code (Pseudocode)**:
|
||||
```python
|
||||
import os, pathlib
|
||||
def read_secret(path_or_envfile):
|
||||
p = os.getenv("DB_PASSWORD_FILE", path_or_envfile)
|
||||
return pathlib.Path(p).read_text(encoding="utf-8").strip()
|
||||
```
|
||||
|
||||
> Für lokale Entwicklung: `.env.example` bereitstellen, `.env` in `.gitignore`.
|
||||
|
||||
---
|
||||
|
||||
## Container & Orchestrierungs-Sicherheit
|
||||
|
||||
- **Images**: Minimal-Basis (distroless/alpine), keine Paketmanager/Compiler in Runtime-Images; **immutable Tags + Digests** pinnen.
|
||||
- **User**: Container **nicht als root** (`USER 10001:10001`).
|
||||
- **FS**: `readOnlyRootFilesystem`, nur benötigte Volumes.
|
||||
- **Capabilities**: Drop all; selektiv erlauben (`NET_BIND_SERVICE` etc.).
|
||||
- **Seccomp/AppArmor**: Restriktive Profile aktivieren.
|
||||
- **Netzwerk**: Default-Deny zwischen Pods/Services, nur benötigte Egress/DNS.
|
||||
- **Runtime**: Health/Readiness, Ressourcengrenzen (`requests/limits`), Image-Signing (z. B. cosign).
|
||||
|
||||
**Dockerfile (Skizze)**:
|
||||
```dockerfile
|
||||
FROM gcr.io/distroless/python3
|
||||
WORKDIR /app
|
||||
COPY app/ /app
|
||||
USER 10001:10001
|
||||
CMD ["python", "main.py"]
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Sicheres Hosting & Infrastruktur-Hardening
|
||||
|
||||
- **Zugriff**: MFA/2FA überall, **FIDO2** bevorzugt; keine Passwort-SSH-Logins, nur Keys; kurzlebige Zugangstokens (OIDC).
|
||||
- **Patchen**: OS & Middleware regelmäßig, automatische Sicherheitsupdates wo möglich.
|
||||
- **Firewalls/WAF**: Eingehend/ausgehend minimal; Rate Limiting.
|
||||
- **Logs**: Zentral sammeln (tamper-evident), Zeit/NTP synchronisieren.
|
||||
- **Backups**: Verschlüsselt (at rest & in transit), Restore-Tests (mind. quartalsweise).
|
||||
- **DNS/Email**: DNSSEC wo möglich; SPF, DKIM, DMARC „quarantine/reject“.
|
||||
- **Cloud**: Least Privilege IAM, getrennte Accounts/Projekte pro Umgebung, Security Groups knauserig.
|
||||
|
||||
---
|
||||
|
||||
## Supply-Chain, Abhängigkeiten & SBOM
|
||||
|
||||
- **Pinning**: Exakte Versionen (oder Range + Lockfiles).
|
||||
- **Automatische Updates**: Renovate/Dependabot mit Review.
|
||||
- **Scanning**: SCA (Dependencies), Image-Scanner (Trivy/Grype), OS-Patches.
|
||||
- **SBOM**: Erzeugen (CycloneDX oder SPDX) und dem Release beilegen.
|
||||
- **Verifikation**: Signierte Artefakte (Sigstore/cosign); Registry-Policies (nur signiert zulassen).
|
||||
|
||||
---
|
||||
|
||||
## CI/CD & Releasemanagement-Sicherheit
|
||||
|
||||
- **Branch Protection**: Reviews, status checks, signierte Commits/Tags.
|
||||
- **Secrets im CI**: Nur benötigte Variablen, maskiert; **keine** Secrets in Job-Logs; OIDC-Föderation statt dauerhafter Cloud-Keys.
|
||||
- **Isolierung**: Untrusted PRs in isolierten Workflows ohne Secrets; Dependency Caching mit Prüfsummen.
|
||||
- **Artefakte**: Prüfsummen/Signaturen veröffentlichen; Provenance (SLSA-Gedanken).
|
||||
- **Checks**: SAST, IaC-Scan (Terraform/K8s), Container-Scan als Pflicht vor Release.
|
||||
|
||||
---
|
||||
|
||||
## Anwendungs-Hardening (Headers, CORS, CSP)
|
||||
|
||||
- **Security Headers** (Beispiele):
|
||||
- `Content-Security-Policy: default-src 'self'` (feinjustieren)
|
||||
- `X-Content-Type-Options: nosniff`
|
||||
- `X-Frame-Options: DENY` (oder `SAMEORIGIN` falls nötig)
|
||||
- `Referrer-Policy: no-referrer`
|
||||
- `Permissions-Policy: camera=(), geolocation=()`
|
||||
- **CORS**: Nur notwendige Origins/Methoden/Headers; keine `*` für Credentials.
|
||||
- **AuthN/Z**: Rate Limits, Lockouts, MFA-Optionen; sichere Session-Cookies (`Secure`, `HttpOnly`, `SameSite=Strict`).
|
||||
- **Crypto**: Bewährte Bibliotheken, aktuelle Algorithmen, kein Eigenbau.
|
||||
|
||||
---
|
||||
|
||||
## Daten & Protokollierungsrichtlinien
|
||||
|
||||
- **Klassifizierung**: Öffentliche / Intern / Vertraulich / Geheim.
|
||||
- **PII**: Data Minimization; Verschlüsselung at rest (z. B. AES-256), Feld-Level-Encryption bei Bedarf.
|
||||
- **Logs**: Keine Secrets/PII; Rotations- & Aufbewahrungsfristen; Zugriff nur für Befugte.
|
||||
- **DSGVO**: Rechtsgrundlage dokumentieren, Betroffenenrechte, Auftragsverarbeiterverträge.
|
||||
|
||||
---
|
||||
|
||||
## Sicherheits-Tests
|
||||
|
||||
- **SAST**: Bei jedem Commit/PR.
|
||||
- **DAST**: Gegen Staging mit Test-Accounts.
|
||||
- **IaC/Cloud**: Terraform/K8s/Cloud Config Scanner.
|
||||
- **Dependency/Container**: bei jedem Build.
|
||||
- **Penetrationstests/Bug Bounty**: Mind. jährlich bzw. vor großen Releases; Scope wie oben.
|
||||
|
||||
---
|
||||
|
||||
## Vorfallreaktion & Backups
|
||||
|
||||
- **Runbooks**: Erkennung → Eindämmung → Beseitigung → Wiederherstellung → Lessons Learned.
|
||||
- **Kommunikation**: Interne Kanäle, Eskalationsmatrix, rechtliche Meldepflichten (z. B. 72-Stunden-Fenster beachten).
|
||||
- **Backups**: 3-2-1-Regel, regelmäßige Restore-Drills, KMS-geschützt.
|
||||
|
||||
---
|
||||
|
||||
## Bedrohungsmodell (kurz)
|
||||
|
||||
- **Angriffsflächen**: Öffentliche HTTP(S)-Endpunkte, CI/CD, Artefakt-Registry, Admin-Backends, Supply-Chain.
|
||||
- **Gegner**: Opportunistische Angreifer, Botnets, gezielte Kompromittierung von Zugangsdaten.
|
||||
- **Kontrollen (Auszug)**: MFA, mTLS, Least Privilege, Code-& Dependency-Scans, signierte Builds, Netzwerk-Policies, Monitoring/Alerting.
|
||||
|
||||
---
|
||||
|
||||
### Änderungshistorie
|
||||
|
||||
- `30.01.2025` – Initiale Version.
|
||||
Reference in New Issue
Block a user