Regeln, security
19 Regeln in /var/www/code/security/rules.yaml.
| ID | Titel | Severity |
|---|---|---|
| SEC_001_SERVER_SIDE_AUTHORIZATION | Autorisierung ist serverseitig und objektbezogen | must |
| SEC_002_CSRF_FOR_STATE_CHANGE | Zustandsaenderungen brauchen CSRF-Schutz | must |
| SEC_003_CONTEXTUAL_OUTPUT_ENCODING | Ausgabe wird kontextgerecht escaped | must |
| SEC_004_CSP_WITHOUT_INLINE_DEFAULTS | CSP begrenzt Script- und Style-Ausfuehrung | should |
| SEC_005_SESSION_COOKIE_HARDENING | Session-Cookies sind gehaertet | must |
| SEC_006_TIMEOUT_REAUTH_NO_DATA_LOSS | Timeout und Reauth verlieren keine Eingaben | must |
| SEC_007_NO_MODAL_SECURITY_FLOWS | Security-Flows verwenden keine Modals | must |
| SEC_008_RATE_LIMIT_AUTH_AND_SEARCH | Auth und teure Suche sind begrenzt | must |
| SEC_009_UPLOADS_ARE_ISOLATED | Uploads werden validiert und isoliert | must |
| SEC_010_SECRETS_NEVER_IN_REPO_OR_CLIENT | Secrets liegen nicht im Repo oder Client | must |
| SEC_011_SECURITY_HEADERS_BASELINE | Security Header sind Teil der Baseline | should |
| SEC_012_AUDIT_SECURITY_EVENTS | Sicherheitsereignisse sind auditierbar | must |
| SEC_013_NO_SECURITY_BY_UI_STATE | UI-Zustand ist keine Sicherheitsgrenze | must |
| SEC_014_ERROR_MESSAGES_DO_NOT_LEAK | Fehlermeldungen leaken keine Interna | must |
| SEC_015_NO_PII_OR_AUTH_STATE_IN_URLS | Keine PII oder Auth-Zustaende in URLs | must |
| SEC_016_HISTORY_PII_RETENTION_AND_ERASURE | History respektiert Datenschutz und Loeschpflichten | must |
| SEC_017_NO_SECRET_HISTORY_PAYLOADS | Secrets werden nicht historisiert | must |
| SEC_018_DB_SESSION_CONTEXT_IS_TRANSACTION_LOCAL | DB-Kontext leakt nicht zwischen Requests | must |
| SEC_019_AUDIT_CONTEXT_IS_SERVER_AUTHORED | Audit-Kontext ist serverseitig autorisiert | must |