SEC_017_NO_SECRET_HISTORY_PAYLOADS: Secrets werden nicht historisiert
Severity: must. Bereich: security.
Regel
Magic Codes, OTP-Klarwerte, Session-Secrets, Reset-Tokens, API-Keys, OAuth-Tokens und vergleichbare Geheimnisse DUERFEN nicht in old_data, new_data, changed_fields, Audit-Events oder Restore-Payloads persistiert werden. Erlaubt sind nur nicht-sensitive Metadaten wie Zeitpunkt, Hash-Status, Ablaufzeit oder Konsumstatus.
Reflection-Check
check:
reflect:
fields:
- contains_secret
- redaction_policy
objects:
- history_table
- audit_eventEvidence
- OWASP_SECRETS, OWASP Secrets Management Cheat Sheet
- OWASP_SESSION, OWASP Session Management Cheat Sheet
- LOCAL_SECURITY