Regeln, security

19 Regeln in /var/www/code/security/rules.yaml.

IDTitelSeverity
SEC_001_SERVER_SIDE_AUTHORIZATIONAutorisierung ist serverseitig und objektbezogenmust
SEC_002_CSRF_FOR_STATE_CHANGEZustandsaenderungen brauchen CSRF-Schutzmust
SEC_003_CONTEXTUAL_OUTPUT_ENCODINGAusgabe wird kontextgerecht escapedmust
SEC_004_CSP_WITHOUT_INLINE_DEFAULTSCSP begrenzt Script- und Style-Ausfuehrungshould
SEC_005_SESSION_COOKIE_HARDENINGSession-Cookies sind gehaertetmust
SEC_006_TIMEOUT_REAUTH_NO_DATA_LOSSTimeout und Reauth verlieren keine Eingabenmust
SEC_007_NO_MODAL_SECURITY_FLOWSSecurity-Flows verwenden keine Modalsmust
SEC_008_RATE_LIMIT_AUTH_AND_SEARCHAuth und teure Suche sind begrenztmust
SEC_009_UPLOADS_ARE_ISOLATEDUploads werden validiert und isoliertmust
SEC_010_SECRETS_NEVER_IN_REPO_OR_CLIENTSecrets liegen nicht im Repo oder Clientmust
SEC_011_SECURITY_HEADERS_BASELINESecurity Header sind Teil der Baselineshould
SEC_012_AUDIT_SECURITY_EVENTSSicherheitsereignisse sind auditierbarmust
SEC_013_NO_SECURITY_BY_UI_STATEUI-Zustand ist keine Sicherheitsgrenzemust
SEC_014_ERROR_MESSAGES_DO_NOT_LEAKFehlermeldungen leaken keine Internamust
SEC_015_NO_PII_OR_AUTH_STATE_IN_URLSKeine PII oder Auth-Zustaende in URLsmust
SEC_016_HISTORY_PII_RETENTION_AND_ERASUREHistory respektiert Datenschutz und Loeschpflichtenmust
SEC_017_NO_SECRET_HISTORY_PAYLOADSSecrets werden nicht historisiertmust
SEC_018_DB_SESSION_CONTEXT_IS_TRANSACTION_LOCALDB-Kontext leakt nicht zwischen Requestsmust
SEC_019_AUDIT_CONTEXT_IS_SERVER_AUTHOREDAudit-Kontext ist serverseitig autorisiertmust

Zurück zum Bereich